Cybersicherheitsforscher haben neue Infrastruktur entdeckt, die mit einer finanziell motivierten Bedrohungsgruppe namens FIN7 in Verbindung steht.
Die beiden Cluster potenzieller FIN7-Aktivitäten „deuten auf eingehende Kommunikation zur FIN7-Infrastruktur von IP-Adressen hin, die Post Ltd (Russland) und SmartApe (Estland) zugewiesen sind“, berichtete Team Cymru in einem diese Woche veröffentlichten Bericht im Rahmen einer gemeinsamen Untersuchung mit Silent Push und Stark Industries Solutions.
Die Ergebnisse bauen auf einem kürzlich von Silent Push veröffentlichten Bericht auf, der mehrere Stark Industries IP-Adressen identifizierte, die ausschließlich der Bereitstellung von FIN7-Infrastruktur gewidmet sind.
Die neueste Analyse deutet darauf hin, dass die Hosts, die mit der e-Kriminalitätsgruppe verbunden sind, wahrscheinlich von einem der Wiederverkäufer von Stark beschafft wurden.
„Wiederverkäuferprogramme sind in der Hosting-Branche üblich; viele der größten VPS (virtuelle private Server)-Anbieter bieten solche Dienste an“, sagte das Cybersicherheitsunternehmen. „Kunden, die Infrastruktur über Wiederverkäufer beziehen, müssen im Allgemeinen die vom ‚Mutter‘-Unternehmen festgelegten Nutzungsbedingungen einhalten.“
Darüber hinaus gab Team Cymru an, zusätzliche Infrastruktur identifiziert zu haben, die mit FIN7-Aktivitäten in Verbindung steht, darunter vier IP-Adressen, die Post Ltd, einem Breitbandanbieter in Südrussland, und drei IP-Adressen, die SmartApe, einem Cloud-Hosting-Anbieter aus Estland, zugewiesen sind.
Der erste Cluster wurde dabei beobachtet, in den letzten 30 Tagen ausgehende Kommunikation mit mindestens 15 von Silent Push zuvor entdeckten Stark-zugewiesenen Hosts (z. B. 86.104.72[.]16) durchzuführen. Ebenso wurde der zweite Cluster aus Estland identifiziert, mit nicht weniger als 16 Stark-zugewiesenen Hosts zu kommunizieren.
„Darüber hinaus wurde festgestellt, dass 12 der in dem Post Ltd-Cluster identifizierten Hosts auch im SmartApe-Cluster beobachtet wurden“, merkte Team Cymru an. Die Dienste wurden nach verantwortungsbewusster Offenlegung durch Stark ausgesetzt.
„Die Überprüfung von Metadaten für diese Kommunikation bestätigte, dass es sich um etablierte Verbindungen handelt. Diese Bewertung basiert auf einer Auswertung beobachteter TCP-Flags und beispielhaften Datenübertragungsvolumina.“
Wenn Sie diesen Artikel interessant fanden, folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu lesen, die wir veröffentlichen.
Quelle: https://ift.tt/Q1tMR8j
