駭客設立假的資安公司,打算聘雇IT人才來進行網路攻擊,然後在背後坐享不法所得!資安業者Gemini Advisory揭露俄羅斯駭客組織FIN7的勒索軟體攻擊行動,他們透過成立假的資安公司「Bastion Secure」來找尋打手
文/周峻佑 | 2021-10-22發表
圖片來源: Gemini Advisory
駭客為了尋求廉價的打手來從事網路攻擊,他們宣稱是提供滲透測試服務的資安公司,設立幾可亂真的網站並開出職缺,但實際上,駭客打算借助這些不知情的IT專家,執行偵察與部署惡意軟體的工作。資安業者Gemini Advisory在10月21日,揭露俄羅斯金融駭客組織FIN7近期的攻擊行動,該組織宣稱是名為「Bastion Secure」英國資安公司並發布求才訊息,目的是要發動勒索軟體攻擊。
事實上,FIN7以冒牌資安公司為幌子,聘雇不知情的資安人員發動攻擊,這不是第一次。在2018年,美國起訴3名FIN7成員時,就揭露該組織曾設立名為Combi Security的假公司,佯稱提供各種資安服務,但實際上,該公司網站上列出的客戶,不少是該組織的受害者。
這起攻擊行動究竟如何被發現?Gemini Advisory接獲錄取Bastion Secure職務的消息人士通報此事,進而著手進行調查。從Bastion Secure的網站來看,這家資安公司正在尋求專精C++、Python、PHP的程式設計師,以及系統管理人員和逆向工程師等人才。該公司也在求職網站上,張貼徵才訊息。
但消息人士指出,在該公司在面試的過程中,就交付他數項測試的工具,並表明正式錄取後會在工作上用到。
然而,Gemini Advisory分析消息人士取得的工具發現,它們實際上來自於駭客組織FIN7的工具包Carbanak與Lizar(亦稱Tirion),用途是感染POS系統與發動勒索軟體攻擊。而這名消息人士也被Bastion Secure要求執行有關的攻擊行動。
根據Bastion Secure所提供的薪資條件,這些錄取的人士月薪約為800至1,200美元,而這是時下後蘇聯國家的IT人員薪資水平。相較於和其他參與攻擊行動的駭客分贓,這樣的攻擊成本顯得相當低廉。
這樣的攻擊事故,突顯資安人員在求職時,需要多加留意公司的來歷,以免不慎成為共犯;從上述薪資來看,該名消息人士很可能是急著找工作才應徵FIN7的職缺,此種現象突顯出,資安人材若沒有合適的環境發揮所長,也有可能會被犯罪組織吸收,而對社會帶來威脅。
圖文來源:iThome https://www.ithome.com.tw/news/147420
