剑指华尔街:黑客组织FIN4将攻击目标锁定美国上市公司

2013年以来,FIN4黑客组织已经攻击了超过100家上市公司。该黑客组织专门攻击美国上市企业,窃取它们内部的并购、收购情报。目前FIN4入侵的100多家公司中,有超过2/3属于医疗和制药行业,其余都是咨询类公司。

1.png

窃取上市公司机密资料

火眼(FireEye)的安全专家们称,FIN4黑客组织现在依然活跃。安全专家们已经发现了黑客们使用的控制与命令服务器。攻击者使用的攻击方式通常是钓鱼邮件。他们会先确定攻击目标,然后有针对性的发送钓鱼邮件。在盗用企业内部员工的邮箱后,通过向公司其他的员工发送钓鱼邮件,最终入侵公司高管、法律顾问、研究者以及外部顾问邮箱。FIN4的黑客们意在获得企业的内部资料,包括股价,财务信息等,这样一来黑客们就可通过买卖股票挣得一大笔钱。

安全专家认为,FIN4黑客组织的成员都是美国人,因为他们对华尔街的金融公司和财富500强公司的文化很是熟知,而且他们在邮件中使用了大量的商业俚语。

6.png

使用钓鱼攻击

安全专家们发现9个FIN4使用控制与命令服务器。在获取受害用户的登录权限后,FIN4的黑客们主要是依靠Tor匿名网络登录受害者的邮件帐户。

FIN4的黑客们并没有使用任何0day漏洞或恶意程序来窃取敏感信息,仅仅是采用盗用邮箱账户入侵的方法。黑客们通过钓鱼邮件当作诱饵来吸引投资者和股东们的关注,而邮件里包含了一个嵌入了VBA宏的 Microsoft Office 文档,当用户打开这一文档时,它会突然弹出一个Outlook对话框,让用户填写登录凭证。

11.jpg

攻击者还在受害者的账户上创建了一个特殊的Outlook规则:把出现“恶意程序、被入侵、钓鱼”等关键词的邮件,重定向到“已删除文件夹”中。

另外,安全人员还发现了一个有趣的事情:黑客会使用受害者的账户对某一话题进行讨论,比如商业合并或者收购的事宜。