Araştırmacılar, FIN7 Siber Suç Grubuna Bağlı Yeni Altyapıyı Ortaya Çıkardı

19.08.2024

Siber güvenlik araştırmacıları, FIN7 olarak bilinen mali açıdan güdümlü bir tehdit grubuna bağlı yeni altyapıyı ortaya çıkardı.

Team Cymru tarafından bu hafta Silent Push ve Stark Industries Solutions ile iş birliği içinde yayınlanan bir rapora göre, olası FIN7 etkinliğine ait iki küme, Rusya'daki Post Ltd ve Estonya'daki SmartApe'e atanan IP adreslerinden FIN7 altyapısına gelen iletişimleri işaret ediyor.

Bu bulgular, Silent Push tarafından yakın zamanda yayımlanan ve yalnızca FIN7 altyapısını desteklemek amacıyla kullanılan Stark Industries IP adreslerini tespit eden raporu genişletiyor.

Son analizler, bu siber suç grubuna bağlı sunucuların muhtemelen Stark'ın bir satıcısından temin edildiğini gösteriyor.

"Saticı programları barındırma endüstrisinde oldukça yaygındır; birçok büyük VPS (sanal özel sunucu) sağlayıcısı bu tür hizmetler sunar," dedi siber güvenlik şirketi. "Satıcılar aracılığıyla altyapı satın alan müşteriler, genellikle 'ana' şirket tarafından belirlenen hizmet şartlarına uymak zorundadır."

Ayrıca, Team Cymru, FIN7'ye bağlı dört IP adresi daha keşfetti: Güney Rusya'da faaliyet gösteren geniş bant sağlayıcısı Post Ltd'ye ait dört IP adresi ve Estonya'da faaliyet gösteren bir bulut barındırma sağlayıcısı olan SmartApe'e ait üç IP adresi.

İlk küme, son 30 gün içinde Silent Push tarafından daha önce tespit edilen, Stark tarafından atanan en az 15 sunucuyla dışa dönük iletişimler gerçekleştirdi. Benzer şekilde, Estonya'daki ikinci kümenin de en az 16 Stark tarafından atanan sunucuyla iletişim kurduğu tespit edildi.

"Ayrıca, Post Ltd kümesindeki 12 sunucu, SmartApe kümesinde de gözlemlendi," diye belirtti Team Cymru. Sorumlu ifşa sonrasında Stark, bu hizmetleri askıya aldı.

İletişim meta verilerinin incelenmesi, TCP bayrakları ve örnek veri transfer hacimlerinin değerlendirilmesine dayanarak, bu bağlantıların gerçek olduğunu doğruladı.