2013年以来,FIN4黑客组织已经攻击了超过100家上市公司。该黑客组织专门攻击美国上市企业,窃取它们内部的并购、收购情报。目前FIN4入侵的100多家公司中,有超过2/3属于医疗和制药行业,其余都是咨询类公司。
窃取上市公司机密资料
火眼(FireEye)的安全专家们称,FIN4黑客组织现在依然活跃。安全专家们已经发现了黑客们使用的控制与命令服务器。攻击者使用的攻击方式通常是钓鱼邮件。他们会先确定攻击目标,然后有针对性的发送钓鱼邮件。在盗用企业内部员工的邮箱后,通过向公司其他的员工发送钓鱼邮件,最终入侵公司高管、法律顾问、研究者以及外部顾问邮箱。FIN4的黑客们意在获得企业的内部资料,包括股价,财务信息等,这样一来黑客们就可通过买卖股票挣得一大笔钱。
安全专家认为,FIN4黑客组织的成员都是美国人,因为他们对华尔街的金融公司和财富500强公司的文化很是熟知,而且他们在邮件中使用了大量的商业俚语。
使用钓鱼攻击
安全专家们发现9个FIN4使用控制与命令服务器。在获取受害用户的登录权限后,FIN4的黑客们主要是依靠Tor匿名网络登录受害者的邮件帐户。
FIN4的黑客们并没有使用任何0day漏洞或恶意程序来窃取敏感信息,仅仅是采用盗用邮箱账户入侵的方法。黑客们通过钓鱼邮件当作诱饵来吸引投资者和股东们的关注,而邮件里包含了一个嵌入了VBA宏的 Microsoft Office 文档,当用户打开这一文档时,它会突然弹出一个Outlook对话框,让用户填写登录凭证。
攻击者还在受害者的账户上创建了一个特殊的Outlook规则:把出现“恶意程序、被入侵、钓鱼”等关键词的邮件,重定向到“已删除文件夹”中。
另外,安全人员还发现了一个有趣的事情:黑客入侵后,会使用受害者的账户参与企业内部的商业讨论,比如讨论公司并购或者收购事宜。