يكشف الباحثون عن بنية تحتية جديدة مرتبطة بمجموعة FIN7 للجرائم الإلكترونية
اكتشف باحثو الأمن السيبراني بنية تحتية جديدة مرتبطة بممثل تهديد ذي دوافع مالية يُعرف باسم FIN7.
تشير مجموعتا أنشطة FIN7 المحتملة “إلى الاتصالات الواردة إلى البنية التحتية لـ FIN7 من عناوين IP المخصصة لشركة Post Ltd (روسيا) وSmartApe (إستونيا)، على التوالي”، حسبما ذكر فريق Cymru. قال في تقرير نُشر هذا الأسبوع كجزء من تحقيق مشترك مع Silent Push وStark Industries Solutions.
تعتمد النتائج على تقرير حديث صادر عن Silent Push، والذي وجد العديد من عناوين IP الخاصة بشركة Stark Industries المخصصة فقط لاستضافة البنية التحتية لـ FIN7.
يشير التحليل الأخير إلى أنه من المحتمل أن يتم شراء المضيفين المرتبطين بمجموعة الجرائم الإلكترونية من أحد بائعي ستارك.
وقالت شركة الأمن السيبراني: “إن برامج إعادة البيع شائعة في صناعة الاستضافة؛ حيث يقدم العديد من أكبر مزودي VPS (الخادم الخاص الافتراضي) مثل هذه الخدمات”. “يجب على العملاء الذين يشترون البنية التحتية عبر الموزعين عمومًا اتباع شروط الخدمة التي يحددها الكيان” الأم “.”
علاوة على ذلك، قال Team Cymru إنه كان قادرًا على تحديد بنية تحتية إضافية مرتبطة بنشاط FIN7، بما في ذلك أربعة عناوين IP مخصصة لشركة Post Ltd، وهي مزود النطاق العريض الذي يعمل في جنوب روسيا وثلاثة عناوين IP مخصصة لـ SmartApe، وهو مزود استضافة سحابية يعمل من إستونيا.
تمت ملاحظة المجموعة الأولى وهي تجري اتصالات خارجية مع ما لا يقل عن 15 مضيفًا مخصصًا لـ Stark تم اكتشافها مسبقًا بواسطة Silent Push (على سبيل المثال، 86.104.72)[.]16) خلال الثلاثين يومًا الماضية. وبالمثل، تم تحديد المجموعة الثانية من إستونيا على أنها تتواصل مع ما لا يقل عن 16 مضيفًا مخصصًا لـ ستارك.
“بالإضافة إلى ذلك، تمت ملاحظة 12 من المضيفين الذين تم تحديدهم في مجموعة Post Ltd أيضًا في مجموعة SmartApe،” أشار فريق Cymru. تم تعليق الخدمات منذ ذلك الحين بواسطة Stark بعد الكشف المسؤول.
“أكدت مراجعة البيانات الوصفية لهذه الاتصالات أنها اتصالات قائمة. ويستند هذا التقييم إلى تقييم إشارات TCP المرصودة وأحجام نقل البيانات التي تم أخذ عينات منها.”
إرسال التعليق