出于经济动机的 FIN7 网路犯罪团伙伪装成另一家名为“Bastion Secure”的虚构网路安全公司,以渗透测试为幌子招募不知情的软体工程师,可能是勒索软体计划的前奏。
Recorded Future 的 Gemini 咨询部门在一份报告中说: “借助 FIN7 最新的假公司,犯罪集团利用来自各种合法网路安全公司的真实、公开可用的资讯,为 Bastion Secure 创造了一层薄薄的合法性面纱。” “FIN7 正在采用虚假资讯策略,以便如果潜在雇员或感兴趣的一方要对 Bastion Secure 进行事实检查,那么在谷歌上粗略搜索就会返回与 FIN7 的 Bastion Secure 名称或行业相似的公司的‘真实’信息。”
FIN7,也被称为Carbanak,碳蜘蛛和Anunak,有一个跟踪记录引人注目的餐厅,赌博和酒店业在美国感染点的销售终端(POS)系统的恶意软体旨在收获信用卡和借记卡号码然后在地下市场上使用或出售以获取利润。最新发展表明该集团已扩展到高利润的勒索软体领域。
设立虚假前台公司是 FIN7 的一个久经考验的公式,该公司之前曾与另一家名为Combi Security 的虚假网路安全公司有关,该公司声称向客户提供渗透测试服务。从这个角度来看,Bastion Secure 是这种策略的延续。
新网站不仅包含从其他合法网路安全公司(主要是 Convergent Network Solutions)编译的窃取内容,运营商还在流行的招聘公告板上为 C++、PHP 和 Python 程式师、系统管理员和逆向工程师宣传了看似真正的招聘机会,提供他们是面试过程中练习作业的几种工具。
对这些工具进行了分析,发现它们是后开发套件Carbanak和Lizar /Tirion 的元件,这两个工具包之前都属于该组织,可用于破坏 POS 系统和部署勒索软体。
然而,在招聘过程的下一阶段,Bastion Secure 参与犯罪活动变得明显,公司代表提供所谓的客户公司网路的存取权限,并要求潜在候选人收集有关域管理员、档案系统的资讯和备份,表明强烈倾向于进行勒索软体攻击。
研究人员说:“Bastion Secure 提供的 IT 专家职位的工作机会在每月 800 美元到 1,200 美元之间。” “然而,这个‘薪水’只是网路犯罪分子从成功的勒索软体勒索或大规模支付卡窃取活动中获得的犯罪利润的一小部分。”
通过支付“不知情的‘员工’远低于其为勒索软体计划支付的知情犯罪同伙,FIN7 的虚假公司计划使 FIN7 的运营商能够获得该集团开展犯罪活动所需的人才,同时保留更大份额的利润。
除了冒充一个公司实体外,演员还采取了一个额外的措施来证明其真实性,即公司的一个办公位址与一家现已倒闭的英国公司Bastion Security的办公地址相同(北)有限公司。此后,Apple Safari 和 Google Chrome 等网路流览器已阻止访问该欺骗性网站。
研究人员说:“虽然网路犯罪分子在合法工作网站上寻找不知情的同伙并不是什么新鲜事,但 FIN7 的规模和肆意妄为继续超越其他网路犯罪集团所表现出的行为,”并补充说,该集团“试图混淆其真实性”。通过在俄语业务开发网站上通过基本上合法的网站、专业职位发布和公司资讯页面来创建虚假的网路存在,从而将其识别为一个多产的网路犯罪和勒索软体组织。”