金融骇客组织FIN7以资安公司的名义招兵买马，并以渗透测试的名义发动勒索软件攻击

骇客为了寻求廉价的打手来从事网络攻击，他们宣称是提供渗透测试服务的资安公司，设立几可乱真的网站并开出职缺，但实际上，骇客打算借助这些不知情的IT专家，执行侦察与部署恶意软件的工作。资安业者Gemini Advisory在10月21日，揭露俄罗斯金融骇客组织FIN7近期的攻击行动，该组织宣称是名为“Bastion Secure”英国资安公司并发布求才讯息，目的是要发动勒索软件攻击。

事实上，FIN7以冒牌资安公司为幌子，聘雇不知情的资安人员发动攻击，这不是第一次。在2018年，美国起诉3名FIN7成员时，就揭露该组织曾设立名为Combi Security的假公司，佯称提供各种资安服务，但实际上，该公司网站上列出的客户，不少是该组织的受害者。

这起攻击行动究竟如何被发现？Gemini Advisory接获录取Bastion Secure职务的消息人士通报此事，进而着手进行调查。从Bastion Secure的网站来看，这家资安公司正在寻求专精C++、Python、PHP的程序员，以及系统管理人员和逆向工程师等人才。该公司也在求职网站上，张贴征才讯息。

但消息人士指出，在该公司在面试的过程中，就交付他数项测试的工具，并表明正式录取后会在工作上用到。

然而，Gemini Advisory分析消息人士取得的工具发现，它们实际上来自于骇客组织FIN7的工具包Carbanak与Lizar（亦称Tirion），用途是感染POS系统与发动勒索软件攻击。而这名消息人士也被Bastion Secure要求执行有关的攻击行动。

根据Bastion Secure所提供的薪资条件，这些录取的人士月薪约为800至1,200美元，而这是时下后苏联国家的IT人员薪资水平。相较于和其他参与攻击行动的骇客分赃，这样的攻击成本显得相当低廉。

这样的攻击事故，突显资安人员在求职时，需要多加留意公司的来历，以免不慎成为共犯；从上述薪资来看，该名消息人士很可能是急着找工作才应征FIN7的职缺，此种现象突显出，资安人材若没有合适的环境发挥所长，也有可能会被犯罪组织吸收，而对社会带来威胁。