概述
"Fxmsp"是一个俄语和英语国家的黑客组织。专长是进入高度机密的网络以访问私密企业和政府信息。
该组织过去就以来自政府和企业的敏感信息而出名。
2019年3月,Fxmsp称可以提供来自美国的三大反病毒企业的机密信息,其确认他们拥有这三大公司软件开发相关的源代码。提供不同服务方式,定价超过30万美元。
背景
Fxmsp是一个黑客团体,从2017年开始活跃在俄语和英语的地下市场论坛。该组织主要进入世界各地的政府和企业网络以窃取机密信息。
图1: Fxmsp提供对某酒店链的访问,2018年4月5日
TTP
从2017年到2018年,Fxmsp建立了一个可信代理网络来扩大其犯罪市场。已知的Fxmsp TTP包括通过外部RDP服务器和暴露的活动目录来访问网络环境。
最近,Fxmsp称他们建立了一个凭证窃取僵尸网络可以感染高价值目标以窃取用户名和口令,建立该僵尸网络、改善其从安全系统中窃取信息的能力是他们的目标。
非法进入美国3大反病毒公司
2019年4月24日,Fxmsp称成功访问美国3大反病毒公司的内部网络,并提取了属于这三大公司的反病毒软件、AI和安全插件的敏感源代码信息。Fxmsp也对不同公司软件的能力和效率进行了评定。
图3: Fxmsp称窃取的源代码保存在debug信息中
该组织提供一些特定的线索来证明他们成功窃取了信息,通过这些信息可以推断出这几家公司的名字。Fxmsp的截图显示售出30TB的数据,据称都是从这三家公司的网络中窃取的。文件夹中含有公司的开发文档、人工智能模型、web安全软件和反病毒软件库代码的信息。
动机分析
非法进入反病毒公司看似是Fxmsp最近活动的主要目标。Fxmps称非法进入反病毒软件公司是他们过去6个月来的主要项目,在这段时间他们在地下论坛是静默的。根据在地下论坛的活动显示他们从2018年10月到2019年4月在地下论坛消失了。
与Fxmsp Moniker的关联
根据俄罗斯黑客组织ShadowRunTeam的分析,Fxmsp是一个莫斯科居民,名为Andrey,大约是20世纪中期开始参与网络犯罪活动的,擅长社会工程。AdvIntel研究人员分析Fxmsp售出企业机密信息获利近100万美元。
建议
- 监控和检查外部暴露的RDP服务器和AD的网络边界,以减少威胁面;
- 使用鲁棒的补丁,监控鱼叉式钓鱼邮件信息也可以帮助识别与Fxmsp新向量环境的信息;
- 将敏感源码开发环境与主网络进行内部隔离,可以防止将知识产权信息从内网中窃取。