Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Как FIN7 использует законных перепродавцов для сокрытия следов

19/08/24

hack202

Исследователи в области кибербезопасности обнаружили новую цифровую инфраструктуру, связанную с финансово мотивированной группировкой киберпреступников, известной как FIN7. Этот вывод был сделан в рамках совместного расследования, проведённого Team Cymru, Silent Push и Stark Industries Solutions, пишет Securitylab.

В ходе исследования были выявлены угрозы, указывающие на активность FIN7. Первый класс связан с IP-адресами, принадлежащими компании Post Ltd, расположенной, как утверждается, на территории России. Второй кластер включает IP-адреса, закреплённые за компанией SmartApe из Эстонии. Оба этих кластера демонстрируют входящие соединения с инфраструктурой, предположительно используемой группировкой FIN7.

Эти находки основываются на предыдущем отчёте Silent Push, в котором было выявлено несколько IP-адресов, используемых исключительно для размещения инфраструктуры FIN7. Согласно последним данным, хосты, связанные с данной кибергруппировкой, вероятно, были приобретены через одного из реселлеров Stark Industries.

Использование услуг перепродавцов — обычная практика в сфере хостинга. Крупные VPS-провайдеры часто предоставляют такие сервисы. Покупатели, приобретающие инфраструктуру через реселлеров, должны соблюдать условия использования, установленные основной компанией.

Специалистам Team Cymru также удалось идентифицировать дополнительные IP-адреса, связанные с активностью FIN7. Четыре из них принадлежат Post Ltd, а три — SmartApe. Первый кластер показал активные исходящие соединения с 15 хостами, ранее обнаруженными Silent Push. Второй кластер из Эстонии был замечен в связях с 16 новыми хостами.

Примечательно, что 12 хостов, связанных с кластером Post Ltd, также были обнаружены и в кластере SmartApe. Услуги этих хостов были приостановлены после раскрытия информации компанией Stark Industries. Анализ метаданных подтверждает установление этих соединений, основываясь на оценке TCP-флагов и объёмов передаваемых данных.

Эффективное противодействие киберпреступности требует тесного сотрудничества между экспертами и организациями из разных стран. Обмен данными и совместные расследования позволяют быстрее выявлять сложные схемы атак и своевременно реагировать на новые угрозы, несмотря на попытки злоумышленников скрыть свою деятельность за множеством IP-адресов и компаний-посредников.

Темы:УгрозыFin7тактики киберпреступниковTeam Cymru
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...