[[123749]]

2013年以來，FIN4黑客組織已經攻擊了超過100家上市公司。該黑客組織專門攻擊美國上市企業，竊取它們內部的并購、收購情報。目前FIN4入侵的100多家公司中，有超過2/3屬于醫療和制藥行業，其余都是咨詢類公司。 

 

竊取上市公司機密資料

火眼(FireEye)的安全專家們稱，FIN4黑客組織現在依然活躍。安全專家們已經發現了黑客們使用的控制與命令服務器。攻擊者使用的攻擊方式通常是釣魚郵件。他們會先確定攻擊目標，然后有針對性的發送釣魚郵件。在盜用企業內部員工的郵箱后，通過向公司其他的員工發送釣魚郵件，最終入侵公司高管、法律顧問、研究者以及外部顧問郵箱。FIN4的黑客們意在獲得企業的內部資料，包括股價，財務信息等，這樣一來黑客們就可通過買賣股票掙得一大筆錢。

安全專家認為，FIN4黑客組織的成員都是美國人，因為他們對華爾街的金融公司和財富500強公司的文化很是熟知，而且他們在郵件中使用了大量的商業俚語。 

 

使用釣魚攻擊

安全專家們發現9個FIN4使用控制與命令服務器。在獲取受害用戶的登錄權限后，FIN4的黑客們主要是依靠Tor匿名網絡登錄受害者的郵件帳戶。

FIN4的黑客們并沒有使用任何0day漏洞或惡意程序來竊取敏感信息，僅僅是采用盜用郵箱賬戶入侵的方法。黑客們通過釣魚郵件當作誘餌來吸引投資者和股東們的關注，而郵件里包含了一個嵌入了VBA宏的 Microsoft Office 文檔，當用戶打開這一文檔時，它會突然彈出一個Outlook對話框，讓用戶填寫登錄憑證。 

 

攻擊者還在受害者的賬戶上創建了一個特殊的Outlook規則：把出現“惡意程序、被入侵、釣魚”等關鍵詞的郵件，重定向到“已刪除文件夾”中。

另外，安全人員還發現了一個有趣的事情：黑客入侵后，會使用受害者的賬戶參與企業內部的商業討論，比如討論公司并購或者收購事宜。