在最近IBM發佈的對Fxmsp的綜合報告裏，將這個男人稱爲“暗網隱形的神”。

在暗網活躍3年以上

襲擊44個國家

入侵135家公司，8.9%爲國有企業

僅基於公開拍賣預估獲利1500000美金

探究Fxmsp如何從新手駭客成爲講俄語的地下組織的重量級人物，對於安全研究人員瞭解網絡犯罪行業的發展、暗網的變化都有一定意義。

初入地下論壇到如魚得水

2016年9月，Fxmsp在網絡犯罪領域邁出了第一步。

當時，他在一個地下論壇fuckav [.] ru上完成了註冊。但這時候的他對於”入侵訪問了某一公司後如何將這一訪問權變現“、”如何保證對於某一公司的長久入侵訪問能力“還一無所知。因此，他在地下論壇四處尋求”同夥“，希望找到自我傳播的持久性加密採礦惡意軟件和其他特洛伊木馬程序，以此來感染公司網絡。在這一階段，Fxmsp給安全研究人員留下了很多把柄。

一般來說，地下論壇上經驗豐富的駭客從不會發布自己的聯繫方式，但是當時的Fxmsp則大意地在論壇留下了自己的聯繫信息，其中還包括了Jabber帳戶。

2017年初，Fxmsp在另外幾個講俄語的論壇上（包括臭名昭著的exploit [.]）創建了帳戶，他調整了活動重點並開始出售對受入侵的公司網絡的訪問權限，這些網絡在後來幾年逐漸成爲他的主要業務。

2017年10月1日，Fxmsp發佈了他的第一則廣告，公開宣傳出售對公司網絡的訪問權限，而金融業的第一位受害者是尼日利亞的一家商業銀行。後來，他還宣佈出售對一家連鎖豪華酒店、一家擁有200億美元資本的非洲銀行的網絡訪問權。

在地下論壇裏，Fxmsp逐漸如魚得水，幾次的成功讓他變得自大。很快，他甚至和其他駭客討論起如何入侵IBM和微軟，並且試圖在俄羅斯出售訪問權限，比如在2017年10月，他宣傳要出售俄羅斯2個城市的ATM和海關辦公室的網站訪問權限。但是，在講俄語的地下論壇有一個不成文的規矩：not hacking within Russia and CIS countries。於是，Fxmsp的行爲收到了論壇的禁令。

駭客+銷售經理，2人團的成立

2018年1月17日，Fxmsp有了整整18位買家。

因爲網絡犯罪業務發展得如此之好，以至於他還僱用了暱稱Lampeduza的用戶（又名Antony Moricone、BigPetya、Fivelife、Nikolay、tor ）擔任他的銷售經理。

2018年初，銷售經理Lampeduza加大推廣他們的”服務“，甚至在一個論壇帖子中寫道：“……您將可以訪問公司的整個網絡……您將成爲網絡中的隱形的神……”

在兩人合作期間，宣傳了對62家公司的訪問出售權，累計總價格達到1100800美元。

2018年10月下旬，這個2人團體受到了打擊，因爲他們試圖將對同一網絡的訪問權出售給幾個不同的買家，名聲受損……此後，開始轉向專注於“私人銷售”，即僅與有限的客戶羣合作。直到2019年3月中旬，Lampeduza在論壇上覆出，恢復活動。

一戰成名到退隱

Fxmsp的公開活動在2019年4月達到高潮。據悉，他設法入侵了三個防病毒軟件供應商的網絡，這一事件還登上了頭條新聞。

由於Fxmsp的”一戰成名“，Lampeduza宣告”分手“，否認自己也參與了這一次的黑客活動，並且再次從論壇中消失了一段時間，而2019年12月17日，Lampeduza表示Fxmsp已停止其活動。

作爲講俄語的地下論壇上的重量級人物，Fxmsp公開出售了對於135家公司的訪問權，獲得了150萬美金的利潤。他的成功甚至刺激了暗網犯罪市場的發展，引發了其他駭客的效仿。

而Fxmsp活動的3年，犯罪服務也在不斷髮生變化：

1、2019年下半年與2017年上半年相比，出售受害企業的網絡訪問權的買家數量增加了92%
2、在Fxmsp加入之前，買家只提供RDP訪問單獨的服務器的權限並且不考慮持久性問題，而後來，Fxmsp將犯罪服務提升到了一個新的水平，對於受害企業來說威脅也大大提升。

防範建議

雖然Fxmsp確實結束了所有公開業務，但他對企業的威脅仍然是存在的。有鑑於此，向公衆公開有關Fxmsp TTP的資料並提供建議，對於公司防範Fxmsp和類似網絡犯罪分子進行的攻擊幫助具備一定的幫助。

在大多數情況下，Fxmsp使用一種非常簡單而有效的方法：掃描某些開放端口的IP地址範圍，以識別開放的RDP端口，尤其是3389。然後，對受害服務器進行暴力攻擊，以驗證RDP密碼。在獲得對目標設備的訪問權限之後，通常會禁用現有的防病毒軟件和防火牆，然後創建其他帳戶。接下來，將服務器上的Meterpreter有效負載用作後門，獲得訪問權限後，Fxmsp收集所有帳戶的轉儲並將其解密。最後，通過安裝後門感染備份。即使受害者注意到系統中有可疑活動，他們也很可能會更改密碼並回滾到已經受到威脅的備份。這種方法使他可以保持持久性，並且長時間不被注意。

建議：

將默認RDP端口3389更改爲任何其他端口；

限制每個用戶失敗的登錄嘗試次數，啓用帳戶鎖定策略；

不斷監視暗網中與公司相關的數據。通過威脅情報解決方案快速識別被盜的記錄並溯源追蹤，通過專用的威脅檢測系統發現網絡內的流量異常。

 參考鏈接：

https://securityaffairs.co/wordpress/105129/cyber-crime/fxmsp-threat-actor.html

*本文作者：kirazhou，轉載請註明來自FreeBuf.COM