Как FIN7 использует законных перепродавцов для сокрытия следов
19/08/24
Исследователи в области кибербезопасности обнаружили новую цифровую инфраструктуру, связанную с финансово мотивированной группировкой киберпреступников, известной как FIN7. Этот вывод был сделан в рамках совместного расследования, проведённого Team Cymru, Silent Push и Stark Industries Solutions, пишет Securitylab.
В ходе исследования были выявлены угрозы, указывающие на активность FIN7. Первый класс связан с IP-адресами, принадлежащими компании Post Ltd, расположенной, как утверждается, на территории России. Второй кластер включает IP-адреса, закреплённые за компанией SmartApe из Эстонии. Оба этих кластера демонстрируют входящие соединения с инфраструктурой, предположительно используемой группировкой FIN7.
Эти находки основываются на предыдущем отчёте Silent Push, в котором было выявлено несколько IP-адресов, используемых исключительно для размещения инфраструктуры FIN7. Согласно последним данным, хосты, связанные с данной кибергруппировкой, вероятно, были приобретены через одного из реселлеров Stark Industries.
Использование услуг перепродавцов — обычная практика в сфере хостинга. Крупные VPS-провайдеры часто предоставляют такие сервисы. Покупатели, приобретающие инфраструктуру через реселлеров, должны соблюдать условия использования, установленные основной компанией.
Специалистам Team Cymru также удалось идентифицировать дополнительные IP-адреса, связанные с активностью FIN7. Четыре из них принадлежат Post Ltd, а три — SmartApe. Первый кластер показал активные исходящие соединения с 15 хостами, ранее обнаруженными Silent Push. Второй кластер из Эстонии был замечен в связях с 16 новыми хостами.
Примечательно, что 12 хостов, связанных с кластером Post Ltd, также были обнаружены и в кластере SmartApe. Услуги этих хостов были приостановлены после раскрытия информации компанией Stark Industries. Анализ метаданных подтверждает установление этих соединений, основываясь на оценке TCP-флагов и объёмов передаваемых данных.
Эффективное противодействие киберпреступности требует тесного сотрудничества между экспертами и организациями из разных стран. Обмен данными и совместные расследования позволяют быстрее выявлять сложные схемы атак и своевременно реагировать на новые угрозы, несмотря на попытки злоумышленников скрыть свою деятельность за множеством IP-адресов и компаний-посредников.