Хак-группа FIN7 создала фейковую компанию для поиска и обмана ИБ-специалистов - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Хак-группа FIN7 создала фейковую компанию для поиска и обмана ИБ-специалистов - «Новости»

✔Хак-группа FIN7 создала фейковую компанию для поиска и обмана ИБ-специалистов - «Новости»

25 октября 2021 709 Новости / Изображения / Отступы и поля / Текст / Преимущества стилей / Сайтостроение / Самоучитель CSS / Добавления стилей / Блог для вебмастеров 0

ИБ-специалисты Gemini Advisory (подразделение Recorded Future) обнаружили, что известная хакерская группа FIN7 создала фиктивную ИБ-компанию Bastion Secure, чтобы искать и нанимать «на работу» исследователей. В итоге таланты рекрутированных таким образом специалистов использовались для проведения атак шифровальщиков.





Сайт компании Bastion Secure утверждает, что данная фирма предоставляет услуги тестирования на проникновение для частных компаний и организаций государственного сектора по всему миру. Однако эксперты пишут, что FIN7 использует Bastion Secure как ширму для поиска и найма ИБ-специалистов на различные должности. Соответствующие объявления о вакансиях были обнаружены на ряде российских и украинских порталов (1,  2,  3,  4,  5,  6,  7). Также реклама на сайте хакеров (архивная версия) гласила, что FIN7 набирает реверс-инженеров, системных администраторов, программистов на C ++, Python и PHP.


Откликнувшиеся на такие вакансии соискатели проходили трехэтапное собеседование, рассказывает Gemini Advisory, один из ее партнеров которой прошел весь этот процесс с целью изучения деятельности сомнительной компании.



  • Этап 1: первый этап включал в себя базовое собеседование с HR, которое обычно проводилось через Telegram. Если собеседование проходило успешно, соискателям предлагали подписать соглашение о неразглашении информации и настроить свой компьютер, установив несколько виртуальных машин и открыв определенные порты.

  • Этап 2: на втором этапе кандидаты получали от компании легальные пентестерские инструменты для выполнения ряда тестовых заданий.

  • Этап 3: соискателей приглашали к участию в «реальном» задании, где им велели провести пентест одного из клиентов Bastion Secure.


В отчете анализов Gemini Advisory подчеркивается, что на последнем этапе собеседования соискателям не предоставляли никаких объяснений и юридических документов, разрешающих тесты на проникновение, как это принято в подобных случаях. Кроме того, представители Bastion Secure советовали кандидатам использовать только определенные инструменты, которые не будут обнаружены защитным ПО, и специально искать резервные копии, а также системы хранения файлов в системах компаний-целей.


Инструменты, которыми в Bastion Secure снабдили инсайдера Gemini Advisory, оказались связаны такой малварью, как Carbanak и Lizar/Tirion, которая давно считается частью арсенала FIN7. Кроме того, задачи и операции на собеседованиях «соответствовали шагам, которые предпринимаются для подготовки к атакам с использованием программ-вымогателей».





По данным исследователей, в ходе этих атак были установлены такие шифровальщики, как Ryuk и REvil, которые в последние годы связывают с FIN7. По словам экспертов Microsoft, которые тоже отслеживали фальшивую компанию FIN7, в более новых атаках были бы развернуты вымогатели DarkSide и BlackMatter. Так, недавно, выступая на мероприятии Mandiant Cyber ​​Defense Summit, Ник Карр и Кристофер Глайер из Microsoft рассказали, что FIN7 не просто использовала вымогатель Darkside (и его более поздний ребрендинг BlackMatter), но и самостоятельно управляла Darkside RaaS (Ransomware-as- a-Service).




Интересно, что создание фейковой ИБ-компании – не новая тактика для злоумышленников. Группировка FIN7 уже делала то же самое в середине 2010-х годов, и тогда хакеры управляли другой фальшивой ИБ-фирмой — Combi Security. В то время FIN7 в основном занималась Point-of-Sale малварью, поэтому Combi Security нанимала пентестеров для взлома сетей розничных компаний. Таким образом в сетях скомпрометированных фирм развертывали PoS-вредоноса для сбора данных платежных карт из взломанных сетей.


Исследователи говорят, что создание второй фальшивой компании объясняется очень просто, это связно с операционными расходами и финансами хакеров. Реальность такова, что хак-группе дешевле найти и нанять стороннего ИБ-специалиста, чем работать с другими хакерскими группами или частными лицами, нанятыми через андеграундные форумы. Так, по данным Gemini Advisory, ИБ-специалист в России обычно зарабатывает от 800 до 1200 долларов в месяц, тогда как преступники, скорее всего, будут претендовать на процент от выкупа, полученного в результате вымогательской атаки. Ведь в некоторых случаях выкуп с легкостью может достигать нескольких миллионов долларов США.


ИБ-специалисты Gemini Advisory (подразделение Recorded Future) обнаружили, что известная хакерская группа FIN7 создала фиктивную ИБ-компанию Bastion Secure, чтобы искать и нанимать «на работу» исследователей. В итоге таланты рекрутированных таким образом специалистов использовались для проведения атак шифровальщиков. Сайт компании Bastion Secure утверждает, что данная фирма предоставляет услуги тестирования на проникновение для частных компаний и организаций государственного сектора по всему миру. Однако эксперты пишут, что FIN7 использует Bastion Secure как ширму для поиска и найма ИБ-специалистов на различные должности. Соответствующие объявления о вакансиях были обнаружены на ряде российских и украинских порталов (1, 2, 3, 4, 5, 6, 7). Также реклама на сайте хакеров (архивная версия) гласила, что FIN7 набирает реверс-инженеров, системных администраторов, программистов на C , Python и PHP. Откликнувшиеся на такие вакансии соискатели проходили трехэтапное собеседование, рассказывает Gemini Advisory, один из ее партнеров которой прошел весь этот процесс с целью изучения деятельности сомнительной компании. Этап 1: первый этап включал в себя базовое собеседование с HR, которое обычно проводилось через Telegram. Если собеседование проходило успешно, соискателям предлагали подписать соглашение о неразглашении информации и настроить свой компьютер, установив несколько виртуальных машин и открыв определенные порты. Этап 2: на втором этапе кандидаты получали от компании легальные пентестерские инструменты для выполнения ряда тестовых заданий. Этап 3: соискателей приглашали к участию в «реальном» задании, где им велели провести пентест одного из клиентов Bastion Secure. В отчете анализов Gemini Advisory подчеркивается, что на последнем этапе собеседования соискателям не предоставляли никаких объяснений и юридических документов, разрешающих тесты на проникновение, как это принято в подобных случаях. Кроме того, представители Bastion Secure советовали кандидатам использовать только определенные инструменты, которые не будут обнаружены защитным ПО, и специально искать резервные копии, а также системы хранения файлов в системах компаний-целей. Инструменты, которыми в Bastion Secure снабдили инсайдера Gemini Advisory, оказались связаны такой малварью, как Carbanak и Lizar/Tirion, которая давно считается частью арсенала FIN7. Кроме того, задачи и операции на собеседованиях «соответствовали шагам, которые предпринимаются для подготовки к атакам с использованием программ-вымогателей». По данным исследователей, в ходе этих атак были установлены такие шифровальщики, как Ryuk и REvil, которые в последние годы связывают с FIN7. По словам экспертов Microsoft, которые тоже отслеживали фальшивую компанию FIN7, в более новых атаках были бы развернуты вымогатели DarkSide и BlackMatter. Так, недавно, выступая на мероприятии Mandiant Cyber ​​Defense Summit, Ник Карр и Кристофер Глайер из Microsoft рассказали, что FIN7 не просто использовала вымогатель Darkside (и его более поздний ребрендинг BlackMatter), но и самостоятельно управляла Darkside RaaS (Ransomware-as- a-Service). Today @cglyer
CSS
запостил(а)
James
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: