Siber güvenlik araştırmacıları, FIN7 olarak bilinen finansal amaçlı bir tehdit aktörüyle bağlantılı yeni bir altyapı keşfettiler.
Team Cymru, Silent Push ve Stark Industries Solutions ile birlikte yürüttükleri ortak soruşturmanın bir parçası olarak bu hafta yayınladıkları raporda, olası FIN7 aktivitesinin iki kümesinin “sırasıyla Post Ltd (Rusya) ve SmartApe’e (Estonya) atanan IP adreslerinden FIN7 altyapısına gelen iletişimleri gösterdiğini” söyledi.
Bulgular, Stark Industries’e ait birkaç IP adresinin yalnızca FIN7 altyapısını barındırmaya adanmış olduğunu tespit eden Silent Push’ın yakın tarihli bir raporuna dayanıyor.
Yapılan son analizler, e-suç örgütüyle bağlantılı sunucuların büyük ihtimalle Stark’ın satıcılarından birinden temin edildiğini gösteriyor.
Siber güvenlik şirketi, “Bayi programları barındırma sektöründe yaygındır; en büyük VPS (sanal özel sunucu) sağlayıcılarının çoğu bu tür hizmetler sunmaktadır,” dedi. “Bayiler aracılığıyla altyapı satın alan müşteriler genellikle ‘ana’ kuruluş tarafından belirtilen hizmet şartlarına uymalıdır.”
Dahası, Team Cymru, FIN7 aktivitesiyle bağlantılı ek altyapıyı tespit edebildiğini, bunların arasında Güney Rusya’da faaliyet gösteren bir geniş bant sağlayıcısı olan Post Ltd’ye atanan dört IP adresi ve Estonya’dan faaliyet gösteren bir bulut barındırma sağlayıcısı olan SmartApe’e atanan üç IP adresinin bulunduğunu söyledi.
İlk kümenin, daha önce Silent Push tarafından keşfedilen en az 15 Stark atanmış ana bilgisayarla (örneğin, 86.104.72) giden iletişimler gerçekleştirdiği gözlemlendi.[.]16) son 30 gün içinde. Benzer şekilde, Estonya’dan ikinci kümenin en az 16 Stark-atamalı ana bilgisayarla iletişim kurduğu tespit edildi.
“Ek olarak, Post Ltd kümesinde tanımlanan 12 ana bilgisayar da SmartApe kümesinde gözlemlendi,” diye belirtti Team Cymru. Hizmetler, sorumlu ifşanın ardından Stark tarafından askıya alındı.
“Bu iletişimlerin meta verilerini incelemek bunların kurulmuş bağlantılar olduğunu doğruladı. Bu değerlendirme, gözlemlenen TCP bayraklarının ve örneklenmiş veri aktarım hacimlerinin değerlendirilmesine dayanmaktadır.”