概述

"Fxmsp"是一個俄語和英語國家的黑客組織。專長是進入高度機密的網絡以訪問私密企業和政府信息。

該組織過去就以來自政府和企業的敏感信息而出名。

2019年3月，Fxmsp稱可以提供來自美國的三大反病毒企業的機密信息，其確認他們擁有這三大公司軟件開發相關的源代碼。提供不同服務方式，定價超過30萬美元。

背景

Fxmsp是一個黑客團體，從2017年開始活躍在俄語和英語的地下市場論壇。該組織主要進入世界各地的政府和企業網絡以竊取機密信息。

圖1: Fxmsp提供對某酒店鏈的訪問，2018年4月5日

TTP

從2017年到2018年，Fxmsp建立了一個可信代理網絡來擴大其犯罪市場。已知的Fxmsp TTP包括通過外部RDP服務器和暴露的活動目錄來訪問網絡環境。

最近，Fxmsp稱他們建立了一個憑證竊取僵尸網絡可以感染高價值目標以竊取用戶名和口令，建立該僵尸網絡、改善其從安全系統中竊取信息的能力是他們的目標。

非法進入美國3大反病毒公司

2019年4月24日，Fxmsp稱成功訪問美國3大反病毒公司的內部網絡，并提取了屬于這三大公司的反病毒軟件、AI和安全插件的敏感源代碼信息。Fxmsp也對不同公司軟件的能力和效率進行了評定。

圖3: Fxmsp稱竊取的源代碼保存在debug信息中

該組織提供一些特定的線索來證明他們成功竊取了信息，通過這些信息可以推斷出這幾家公司的名字。Fxmsp的截圖顯示售出30TB的數據，據稱都是從這三家公司的網絡中竊取的。文件夾中含有公司的開發文檔、人工智能模型、web安全軟件和反病毒軟件庫代碼的信息。

動機分析

非法進入反病毒公司看似是Fxmsp最近活動的主要目標。Fxmps稱非法進入反病毒軟件公司是他們過去6個月來的主要項目，在這段時間他們在地下論壇是靜默的。根據在地下論壇的活動顯示他們從2018年10月到2019年4月在地下論壇消失了。

與Fxmsp Moniker的關聯

根據俄羅斯黑客組織ShadowRunTeam的分析，Fxmsp是一個莫斯科居民，名為Andrey，大約是20世紀中期開始參與網絡犯罪活動的，擅長社會工程。AdvIntel研究人員分析Fxmsp售出企業機密信息獲利近100萬美元。

建議

• 監控和檢查外部暴露的RDP服務器和AD的網絡邊界，以減少威脅面；
• 使用魯棒的補丁，監控魚叉式釣魚郵件信息也可以幫助識別與Fxmsp新向量環境的信息；
• 將敏感源碼開發環境與主網絡進行內部隔離，可以防止將知識產權信息從內網中竊取。