ハッキンググループ「Carbanak」が偽のサイバーセキュリティ会社を作ってランサムウェア分野に参入

2021年10月21日（木）、Gemini Advisoryの研究者は、ハッキンググループFIN7（別名「Carbanak」）がBastion Securityという偽のサイバーセキュリティ会社を設立し、ランサムウェア攻撃の暗号化前段階を行うためにペンテスターやシステム管理者を雇うために利用されていたという証拠を詳細に記したブログを公開しました。

研究者たちは、バスティオンセキュリティのウェブサイトが、Convergent Network Solutions Ltd.などの他のウェブサイトから盗んで再編集したコンテンツで構成されていることを発見しました。また、同社はイギリスを拠点としていると主張していますが、サイトではロシア語の404エラーページを提供していることも判明しました。

FIN7社は、Bastion Security社のウェブサイトを通じて、C++、PHP、Pythonのプログラマー、Windowsシステム管理者、リバースエンジニアリングのスペシャリストを、月給800ドルから1200ドルで募集していました。FIN7は、侵害された企業システムをマッピングし、ネットワークの偵察を行い、バックアップサーバやファイルを見つけ出す能力を持つ人材を求めていました。

ジェミニ・アドバイザリー社の情報源の一人は、この偽装会社をもっと調査して、FIN7が背後にいる証拠をもっと見つけたいと思い、この求人に応募した。その結果、この会社が使用している内部ツールは、有名なポストエクスプロイトツールであるCarbanakと、”Command Manager “に偽装されたLizar/Tirionであることがわかりました。さらに、ペンテストサービスを依頼した顧客とされる企業のネットワーク上で、管理者アカウントやバックアップに関連する情報を収集することを命じられました。