近日有安全研究人員發現,俄羅斯黑客組織 FIN7 再次處於經濟動機,而設立了一家自稱 Bastion Secure 的虛假公司,以引誘不知情的 IT 專家入伙。Recorded Future 旗下 Gemini 諮詢部門的研究人員指出,FIN7 曾因入侵 PoS 竊取數百萬張信用卡並非法牟利超 10 億美元而震驚業界。但現在,它又聲稱自己能夠為公共部門提供專業的網絡安全服務。
雖然網站本體創建得煞有介事,但研究發現 FIN7 正是利用了來自現有合法網絡安全公司的真實、公開可用的信息 —— 比如電話號碼、辦公地點、以及從真實網站上提取的文本 —— 來偽裝自身的“合法性”。
比如 Bastion 網站聲稱其獲得了 SC 雜誌評選的 2016“最佳託管安全服務”,且旗下諮詢部門於 2016 年被 Six Degrees 所收購,但這兩件事都是子虛烏有。
Recorded Future 深入分析后發現,Bastion 網站的主要內容,都是從合法網絡安全公司 Convergent Network Solutions 那裡扒來的。
研究人員指出,該網站託管在網絡犯罪分子經常使用的俄羅斯域名註冊商 Beget 提供的平台上,且虛假網站的某些子菜單會返回俄語版本的“找不到頁面”錯誤提示,推測幕後主使生活在俄語區。
慶幸的是,截止發稿時,Google Chrome 和 Apple Safari 都已將其收入“欺騙性站點”黑名單,以阻止用戶的進一步訪問。
與此同時,Bastion Secure 似乎確實想要為某些崗位招募到一些不明真相的求職者,比如看似正規的程序員、系統管理員、逆向工程師等。
然而 Recorded Future 警告稱,該虛假公司只是以此為幌子,真實目的是建立一支能夠開展一系列網絡犯罪活動的“員工”。