[[123749]]

2013年以來(lái)，F(xiàn)IN4黑客組織已經(jīng)攻擊了超過(guò)100家上市公司。該黑客組織專門攻擊美國(guó)上市企業(yè)，竊取它們內(nèi)部的并購(gòu)、收購(gòu)情報(bào)。目前FIN4入侵的100多家公司中，有超過(guò)2/3屬于醫(yī)療和制藥行業(yè)，其余都是咨詢類公司。 

 

竊取上市公司機(jī)密資料

火眼(FireEye)的安全專家們稱，F(xiàn)IN4黑客組織現(xiàn)在依然活躍。安全專家們已經(jīng)發(fā)現(xiàn)了黑客們使用的控制與命令服務(wù)器。攻擊者使用的攻擊方式通常是釣魚(yú)郵件。他們會(huì)先確定攻擊目標(biāo)，然后有針對(duì)性的發(fā)送釣魚(yú)郵件。在盜用企業(yè)內(nèi)部員工的郵箱后，通過(guò)向公司其他的員工發(fā)送釣魚(yú)郵件，最終入侵公司高管、法律顧問(wèn)、研究者以及外部顧問(wèn)郵箱。FIN4的黑客們意在獲得企業(yè)的內(nèi)部資料，包括股價(jià)，財(cái)務(wù)信息等，這樣一來(lái)黑客們就可通過(guò)買賣股票掙得一大筆錢。

安全專家認(rèn)為，F(xiàn)IN4黑客組織的成員都是美國(guó)人，因?yàn)樗麄儗?duì)華爾街的金融公司和財(cái)富500強(qiáng)公司的文化很是熟知，而且他們?cè)卩]件中使用了大量的商業(yè)俚語(yǔ)。 

 

使用釣魚(yú)攻擊

安全專家們發(fā)現(xiàn)9個(gè)FIN4使用控制與命令服務(wù)器。在獲取受害用戶的登錄權(quán)限后，F(xiàn)IN4的黑客們主要是依靠Tor匿名網(wǎng)絡(luò)登錄受害者的郵件帳戶。

FIN4的黑客們并沒(méi)有使用任何0day漏洞或惡意程序來(lái)竊取敏感信息，僅僅是采用盜用郵箱賬戶入侵的方法。黑客們通過(guò)釣魚(yú)郵件當(dāng)作誘餌來(lái)吸引投資者和股東們的關(guān)注，而郵件里包含了一個(gè)嵌入了VBA宏的 Microsoft Office 文檔，當(dāng)用戶打開(kāi)這一文檔時(shí)，它會(huì)突然彈出一個(gè)Outlook對(duì)話框，讓用戶填寫登錄憑證。 

 

攻擊者還在受害者的賬戶上創(chuàng)建了一個(gè)特殊的Outlook規(guī)則：把出現(xiàn)“惡意程序、被入侵、釣魚(yú)”等關(guān)鍵詞的郵件，重定向到“已刪除文件夾”中。

另外，安全人員還發(fā)現(xiàn)了一個(gè)有趣的事情：黑客入侵后，會(huì)使用受害者的賬戶參與企業(yè)內(nèi)部的商業(yè)討論，比如討論公司并購(gòu)或者收購(gòu)事宜。