簡介
10 月 21 日,資安業者 Gemini Advisory 發佈了一份報告,指出臭名昭著的 Carbanak 惡意軟體運營者 FIN7 最近又有了新動作,透過成立假的資安公司「Bastion Secure」來招募專業的IT人員協助他們進行勒索軟體部署的工作。FIN7 是一金融駭客組織,事實上,這已經不是他們第一次冒充資安公司,他們在 2018 年時,就曾設立名為「Combi Security」的假公司,佯稱提供各種資安服務,但實際上,不少 FIN7 的受害者,都是這家公司的客戶。
Bastion Secure
FIN7 為了使 Bastion Secure看起來更真實可做了不少努力。首先,Bastion Secure 這個名字與另一家從事實體安全的公司 Bastion Security 本身就十分相似。其次,公司的地址是一個真實且存在,但目前已經關閉的合法 Bastion Security 辦公室。最後是網站,網站的內容大部分是抄襲 Convergnet Network Solutions,不過網站本身其實被託管在網絡犯罪分子很喜歡的 Beget 俄羅斯域名註冊商上。總之,若使用 Google 搜尋,不細心檢查的話,很容易就會認為 Bastion Secure 是一家合法的公司。
事發原因
Bastion Secure 在招募人員時,會進行三個階段。在第一階段,他們會告訴面試者有興趣聘請他們擔任 IT 專家,然後進入第二個流程,要求面試者安裝一些軟體,並實行一些任務,對應聘資安人員職位來說,這些都還算正常。不過,儘管這些「軟體」宣稱已經得到了 Checkpoint Software 的認證,但後來發現這些工具實際上是 Carbanak 最近開發的名為 Lizar/Tirion 的遠程訪問木馬 RAT 組件。最後在第三個階段,也就是會實際接觸到犯罪領域的階段,Bastion Secure 要求 IT 人員用腳本收集「客戶」公司有關域管理員、文件共享、備份及管理程序的信息。
從這起事件中可以看出,資安人員在求職時若不小心,很有可能就會掉入駭客組織的陷阱中,因此在找尋工作時也應多加謹慎,但也顯現出,專業的資安人才若沒有得到社會的重視及重用,則很有可能被犯罪組織所吸收,成為他們的一份子。
參考資料:
https://www.ithome.com.tw/news/147420
https://threatpost.com/fin7-security-pros-ransomware-attacks/175681/