Pesquisadores de segurança cibernética descobriram uma nova infraestrutura vinculada a um agente de ameaça com motivação financeira conhecido como FIN7 .
Os dois grupos de potencial atividade FIN7 “indicam comunicações de entrada na infraestrutura FIN7 a partir de endereços IP atribuídos à Post Ltd (Rússia) e à SmartApe (Estônia), respectivamente”, disse a Team Cymru em um relatório publicado esta semana como parte de uma investigação conjunta com a Silent Push e a Stark Industries Solutions.
FIN7
As descobertas se baseiam em um relatório recente da Silent Push, que encontrou vários endereços IP da Stark Industries que são dedicados exclusivamente à hospedagem da infraestrutura FIN7.
A análise mais recente indica que os hosts vinculados ao grupo de crimes eletrônicos provavelmente foram adquiridos de um dos revendedores de Stark.
“Programas de revenda são comuns na indústria de hospedagem; muitos dos maiores provedores de VPS (servidor virtual privado) oferecem tais serviços”, disse a empresa de segurança cibernética. “Clientes que adquirem infraestrutura por meio de revendedores geralmente devem seguir os termos de serviço descritos pela entidade ‘mãe’.”
Além disso, a Equipe Cymru disse que conseguiu identificar infraestrutura adicional vinculada à atividade do FIN7, incluindo quatro endereços IP atribuídos à Post Ltd, uma provedora de banda larga que opera no sul da Rússia, e três endereços IP atribuídos à SmartApe, uma provedora de hospedagem em nuvem que opera na Estônia.
O primeiro cluster foi observado conduzindo comunicações de saída com pelo menos 15 hosts atribuídos por Stark previamente descobertos pelo Silent Push (por exemplo, 86.104.72[.]16) nos últimos 30 dias. Da mesma forma, o segundo cluster da Estônia foi identificado como se comunicando com nada menos que 16 hosts atribuídos por Stark.
“Além disso, 12 dos hosts identificados no cluster Post Ltd também foram observados no cluster SmartApe”, observou a Team Cymru. Os serviços foram suspensos pela Stark após divulgação responsável.
“A revisão de metadados para essas comunicações confirmou que elas eram conexões estabelecidas. Esta avaliação é baseada em uma avaliação de sinalizadores TCP observados e volumes de transferência de dados amostrados.”
Fontes: The Hacker News
+Mais
Hackers usam aplicativos falsos de videoconferência para roubar dados de profissionais da Web3
Botnet Socks5Systemz alimenta serviço de proxy ilegal com mais de 85.000 dispositivos hackeados
Campanha de notícias falsas alimentada por IA tem como alvo o apoio ocidental às eleições na Ucrânia e nos EUA