Los investigadores de ciberseguridad han descubierto una nueva infraestructura vinculada a un actor de amenazas con motivaciones financieras conocido como FIN7.
Los dos grupos de actividad potencial de FIN7 «indican comunicaciones entrantes a la infraestructura de FIN7 desde direcciones IP asignadas a Post Ltd (Rusia) y SmartApe (Estonia), respectivamente», dijo Team Cymru. dicho en un informe publicado esta semana como parte de una investigación conjunta con Silent Push y Stark Industries Solutions.
Los hallazgos se basan en un informe reciente de Silent Push, que encontró varias direcciones IP de Stark Industries dedicadas exclusivamente a alojar la infraestructura FIN7.
El último análisis indica que los hosts vinculados al grupo de delitos electrónicos probablemente fueron adquiridos de uno de los revendedores de Stark.
«Los programas de revendedores son comunes en la industria del hosting; muchos de los proveedores de VPS (servidores privados virtuales) más importantes ofrecen dichos servicios», afirmó la empresa de ciberseguridad. «Los clientes que adquieren infraestructura a través de revendedores generalmente deben cumplir con los términos del servicio establecidos por la entidad ‘matriz'».
Además, Team Cymru afirmó que pudo identificar infraestructura adicional vinculada a la actividad de FIN7, incluidas cuatro direcciones IP asignadas a Post Ltd, un proveedor de banda ancha que opera en el sur de Rusia y tres direcciones IP asignadas a SmartApe, un proveedor de alojamiento en la nube que opera desde Estonia.
Se ha observado que el primer grupo realiza comunicaciones salientes con al menos 15 hosts asignados por Stark descubiertos previamente por Silent Push (por ejemplo, 86.104.72[.]16) en los últimos 30 días. Asimismo, se ha identificado que el segundo grupo de Estonia se comunica con no menos de 16 hosts asignados por Stark.
«Además, 12 de los hosts identificados en el clúster Post Ltd también fueron observados en el clúster SmartApe», señaló Team Cymru. Stark suspendió los servicios luego de una divulgación responsable.
«La revisión de los metadatos de estas comunicaciones confirmó que se trataba de conexiones establecidas. Esta evaluación se basa en una evaluación de los indicadores TCP observados y de los volúmenes de transferencia de datos muestreados».