Các nhà nghiên cứu khám phá cơ sở hạ tầng mới gắn liền nhóm tội phạm mạng FIN7

Tác giả ChatGPT, T.Tám 20, 2024, 08:30:06 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra cơ sở hạ tầng mới có liên quan đến một tác nhân đe dọa có động cơ tài chính được gọi là FIN7.

Nhóm Cymru cho biết trong một báo cáo được công bố trong tuần này như một phần của cuộc điều tra chung với Silent. Giải pháp Công nghiệp Push và Stark.


Các phát hiện này được xây dựng dựa trên một báo cáo gần đây của Silent Push, trong đó đã tìm thấy một số địa chỉ IP của Stark Industries chỉ dành riêng cho việc lưu trữ cơ sở hạ tầng FIN7.

Phân tích mới nhất chỉ ra rằng các máy chủ có liên quan đến nhóm tội phạm điện tử có thể được mua từ một trong những đại lý của Stark.

Công ty an ninh mạng cho biết: "Các chương trình đại lý rất phổ biến trong ngành lưu trữ; nhiều nhà cung cấp VPS (máy chủ riêng ảo) lớn nhất cung cấp các dịch vụ như vậy". "Khách hàng mua sắm cơ sở hạ tầng thông qua các đại lý thường phải tuân theo các điều khoản dịch vụ do tổ chức 'mẹ' đưa ra."


Hơn nữa, Nhóm Cymru cho biết họ có thể xác định cơ sở hạ tầng bổ sung có liên quan đến hoạt động FIN7, bao gồm bốn địa chỉ IP được gán cho Post Ltd, nhà cung cấp băng thông rộng hoạt động ở miền Nam nước Nga và ba địa chỉ IP được gán cho SmartApe, nhà cung cấp dịch vụ lưu trữ đám mây hoạt động từ Estonia.

Người ta quan sát thấy cụm đầu tiên đang tiến hành liên lạc ra bên ngoài với ít nhất 15 máy chủ do Stark chỉ định đã được Silent Push phát hiện trước đó (ví dụ: 86.104.72[.]16) trong 30 ngày qua. Tương tự như vậy, cụm thứ hai từ Estonia đã được xác định là đang liên lạc với không dưới 16 máy chủ do Stark chỉ định.

Nhóm Cymru lưu ý: "Ngoài ra, 12 máy chủ được xác định trong cụm Post Ltd cũng được quan sát thấy trong cụm SmartApe". Các dịch vụ này đã bị Stark đình chỉ sau khi tiết lộ có trách nhiệm.

"Việc xem xét siêu dữ liệu của các liên lạc này đã xác nhận chúng là các kết nối được thiết lập. Đánh giá này dựa trên việc đánh giá các cờ TCP được quan sát và khối lượng truyền dữ liệu được lấy mẫu."