有人出售美国三家顶级杀毒软件公司的网络访问权限和源代码
编译:奇安信代码卫士团队
某黑客组织或个人正在出售至少三家美国杀毒软件公司网络的访问权限及其软件产品的源代码。
最初的价格是,访问信息需25万美元,访问源代码需15万美元,不过根据买家所感兴趣的杀毒公司,可以至少30万美元的价格同时出售访问网络和源代码的权限。
每家公司的报价都如此但都不固定。某种访问权限可能要100万美元。最终价格仍然和中介机构在谈。
战术、技术和程序(TTPs)
在2017年和2018年期间,Fxmsp 建立了可靠代理经销商网络,目的是在犯罪市场推广数据泄露信息。一些已知的 TTPs 包括通过外部可用的远程桌面协议服务器和被暴露的活动目录访问网络环境。
最近,Fxmsp 声称开发了一款能够窃取凭证的僵尸网络,能够感染高级别目标窃取敏感的用户名和密码。Fxmsp 声称开发这个僵尸网络并开发其从安全系统中窃取信息的能力是他们的主要目标。
(图:复杂的攻击方法)
被盗数据据称达30TB
3月份,一名自称为 Fxmsp 的威胁者向地下犯罪社区成员宣布称,可以提供盗自位于美国的主流杀毒公司的大量信息。虽然黑客并未披露这三家公司的名称,但从该团伙提供的具体指标列表中可以明确这些公司的身份。
4月末,Fxmsp 表示通过2019年第一季度的努力,设法攻陷了这些公司的网络并确保具有长期的访问权限。
他们提供了应当包含30TB数据的文件夹截屏,声称是从被泄网络中提取的。
(图:存储在调试信息中杀毒公司的源代码截图)
AdvIntel 安全公司发布报告称,“这些文件夹似乎包含关于公司开发文档的信息、人工智能模型、web安全软件和反病毒软件基准代码。”
AdvIntel 公司安全研究董事 Yelisey Bogulsavskiy 表示,Fxmsp 据称攻陷了至少一家公司的活动目录并通过一台外部远程桌面协议服务器建立了持久性。
活动目录是 Windows 网络最关键的组成部分,因为该服务器负责认证并授权网络上的所有用户和计算机,同时为所有管理的系统明确安全实践。
Carbanak 黑客团伙曾使用这种技术攻击全球各地的银行。卡巴斯基实验室的威胁研究人员在俄罗斯的一家银行发现了这种攻击技术。
Bogulsavskiy 表示,Fxmsp 公布了三个受害者并表示已攻陷第四家杀毒公司但并未披露其名称。
密谋已久
AdvIntel 公司表示,“该威胁者声称,在过去六个月来开展杀毒攻陷研究一直是他们的主要任务,这和他们从平常发表帖子的地下论坛上消失六个月的时间吻合。”AdvIntel 指出,Fxmsp 在2018年10月从论坛消失,今年4月份回归。
Fxmsp 似乎是同时讲俄语和英语的一个黑客组织,专门攻击全球范围内的企业和政府网络。从一家地下论坛上于2018年2月发布的一个帖子来看,该威胁者出售某公司的企业网络访问权限,其中包含所有员工的账户信息,“从清洁工到总裁”一应俱全。
黑客通过代理卖家将数据访问金钱化,同时吸引俄语和英语犯罪论坛的买家。尽管仅向一名买家出售,但 Bogulsavskiy 表示,Fxmsp 一贯会再次秘密出售“商品”。
Fxmsp 的这些活动是信息安全专家所熟知的。火眼公司曾在关于欧洲、中东和非洲地区的2018年的电子犯罪报告中提及过。
2018年4月5日,Fxmsp 宣布出售位于欧洲、非洲和南美洲地区某酒店连锁网络的信息访问权限。
AdIntel 公司认为 Fxmsp 是一家可信的黑客团伙,专门出售可验证的企业访问权限。研究人员认为迄今为止 Fxmsp 已牟利100万美左右。Fxmsp 团伙还出售如下企业的访问访问权限:
Keystone Bank Limited
Key Family of Companies
DeltaWestern Petroleum
Peckar& Abramson, P.C. (美国法律公司)
Blue StoneCapital Investments LLC (美国投资公司)
RelianceIndustries Limited (印度工业控股公司)
GhanaMinistry of Finances Database
BogotaElectronic Government Database
Fxmsp 似乎至少活跃于2017年,似乎通过一个名为 Andrey Turchin 的被盗身份开展业务。了解该威胁者的消息来源人士表示,该身份证真实存在。虽然目前该身份已被销毁,但足见威胁者的复杂程度。
建议和缓解方法
• 监控并审查任何已公开的远程桌面协议服务器和活动目录的网络参数,可能会降低已知的两种最初攻击向量。
• 应用健壮的打补丁和安全管理,并监控鱼叉式钓鱼邮件信息,可能有助于识别和 Fxmsp 最新攻击向量环境相关的早期警告信息。
• 隔离和主要网络的访问权限,确保敏感源代码开发环境的安全,可能会挫败从网络窃取知识财产的企图。
原文链接
https://www.bleepingcomputer.com/news/security/hackers-selling-access-and-source-code-from-antivirus-companies/
https://www.advanced-intel.com/blog/top-tier-russian-hacking-collective-claims-breaches-of-three-major-anti-virus-companies
题图:Pixabay License
文内图:AdvIntel
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。