Новости Разоблачение FIN7: тёмные тайны международного хакерского синдиката

NewsMaker

I'm just a script
Премиум
14,097
20
8 Ноя 2022
Как легальные реселлеры невольно помогают скрывать следы киберпреступников.


1abxtqom2o4heofbmg5807yurlwnh6lb.jpg


Исследователи в области кибербезопасности обнаружили новую цифровую инфраструктуру, связанную с финансово мотивированной группировкой киберпреступников, известной как FIN7 . Этот вывод был сделан в рамках Для просмотра ссылки Войди или Зарегистрируйся проведённого Team Cymru , Silent Push и Stark Industries Solutions.

В ходе исследования были выявлены два кластера угроз, указывающих на активность FIN7. Первый кластер связан с IP-адресами, принадлежащими компании Post Ltd, расположенной, как утверждается, на территории России. Второй кластер включает IP-адреса, закреплённые за компанией SmartApe из Эстонии. Оба этих кластера демонстрируют входящие соединения с инфраструктурой, предположительно используемой группировкой FIN7.

Эти находки основываются на Для просмотра ссылки Войди или Зарегистрируйся Silent Push, в котором было выявлено несколько IP-адресов, используемых исключительно для размещения инфраструктуры FIN7. Согласно последним данным, хосты, связанные с данной кибергруппировкой, вероятно, были приобретены через одного из реселлеров Stark Industries.

Использование услуг реселлеров — обычная практика в сфере хостинга. Крупные VPS-провайдеры часто предоставляют такие сервисы. Покупатели, приобретающие инфраструктуру через реселлеров, должны соблюдать условия использования, установленные основной компанией.

Специалистам Team Cymru также удалось идентифицировать дополнительные IP-адреса, связанные с активностью FIN7. Четыре из них принадлежат Post Ltd, а три — SmartApe. Первый кластер показал активные исходящие соединения с 15 хостами, ранее обнаруженными Silent Push. Второй кластер из Эстонии был замечен в связях с 16 новыми хостами.

Примечательно, что 12 хостов, связанных с кластером Post Ltd, также были обнаружены и в кластере SmartApe. Услуги этих хостов были приостановлены после раскрытия информации компанией Stark Industries. Анализ метаданных подтверждает установление этих соединений, основываясь на оценке TCP-флагов и объёмов передаваемых данных.

Эффективное противодействие киберпреступности требует тесного сотрудничества между экспертами и организациями из разных стран. Обмен данными и совместные расследования позволяют быстрее выявлять сложные схемы атак и своевременно реагировать на новые угрозы, несмотря на попытки злоумышленников скрыть свою деятельность за множеством IP-адресов и компаний-посредников.
 
Источник новости
www.securitylab.ru

Похожие темы