近日有安全研究人员发现,俄罗斯黑客组织 FIN7 再次处于经济动机,而设立了一家自称 Bastion Secure 的虚假公司,以引诱不知情的 IT 专家入伙。Recorded Future 旗下 Gemini 咨询部门的研究人员指出,FIN7 曾因入侵 PoS 窃取数百万张信用卡并非法牟利超 10 亿美元而震惊业界。但现在,它又声称自己能够为公共部门提供专业的网络安全服务。
虽然网站本体创建得煞有介事,但研究发现 FIN7 正是利用了来自现有合法网络安全公司的真实、公开可用的信息 —— 比如电话号码、办公地点、以及从真实网站上提取的文本 —— 来伪装自身的“合法性”。
比如 Bastion 网站声称其获得了 SC 杂志评选的 2016“最佳托管安全服务”,且旗下咨询部门于 2016 年被 Six Degrees 所收购,但这两件事都是子虚乌有。
Recorded Future 深入分析后发现,Bastion 网站的主要内容,都是从合法网络安全公司 Convergent Network Solutions 那里扒来的。
研究人员指出,该网站托管在网络犯罪分子经常使用的俄罗斯域名注册商 Beget 提供的平台上,且虚假网站的某些子菜单会返回俄语版本的“找不到页面”错误提示,推测幕后主使生活在俄语区。
庆幸的是,截止发稿时,Google Chrome 和 Apple Safari 都已将其收入“欺骗性站点”黑名单,以阻止用户的进一步访问。
与此同时,Bastion Secure 似乎确实想要为某些岗位招募到一些不明真相的求职者,比如看似正规的程序员、系统管理员、逆向工程师等。
然而 Recorded Future 警告称,该虚假公司只是以此为幌子,真实目的是建立一支能够开展一系列网络犯罪活动的“员工”。