根据安全公司FireEye最新公布的一份报告显示,一个名为FIN4的黑客组织通过攻击企业高管及敏感交易知情人的邮箱以此获取可能会影响股价的内幕消息,而这样的情况已经持续了有一年多的时间。据了解,FIN4于去年年中开始运行,它将医疗、制药公司及它们的咨询者,如律师事务所、投资者关系顾问、投资银行等视为主要攻击对象。 FIN4利用非法获取的用户名和密码阅读目标人物的邮件,然后将里面的一些内部信息卖给那些想要获得短期回报的股票购买者。报告称,这些攻击者会在邮件中将自己“打扮”成投资公司,然后诱骗受害者点开恶意附件。在打开附件之后,受害者需提供个人信息才能查看。据悉,恶意软件基本都是用VBA宏命令的格式编写。 另外,攻击者还会使用假的Outlook Web Access界面,只要受害者在上面执行过登陆,攻击者就能获取他们邮箱的登陆信息。而后,这些被盗取的邮箱登陆信息则会发送给事先准备好的服务器上。报告指出,攻击者和受害者的通信主要依赖于Tor网络,因为这样,FIN4流量的发送源和目的地就不会被曝光。 在被攻击的100多家公司中,其中有3家则是在纽交所或纳斯达克上挂牌。而超过2/3的公司都是制药或医疗公司。 据FireEye披露,FIN4曾在一起涉及到5家企业的收购案还处于协商阶段的时候就从邮件中获得了相关讯息。 FireEye表示,由于对FIN4网络运营的情况了解有限,所以他们也无法获悉这些黑客如何处理这些内幕消息,但他们肯定,根据现有的证据足以证明这样的攻击已持续了1年多的时间--实际上,在报告发布的同时,FIN4的攻击仍在继续。 对此,FireEye在报告中公布了已经被确认的FIN4攻击网站域名,并建议各家企业将其屏蔽,具体名单如下: ellismikepage[.]info rpgallerynow[.]info msoutexchange[.]us outlookscansafe[.]net outlookexchange[.]net lifehealthsanfrancisco2015[.]com dmforever[.]biz junormaat81[.]us 此外,FireEye还建议各家企业关掉Office中的VBA宏命令,并开启Outlook Web Access两步认证功能。
