研究人员发现了与黑客集团FIN7相关的新基础设施

团队Cymru的研究人员发现了两个可能与黑客集团FIN7相关的群集。他们与Silent Push和Stark Industries Solutions的网络安全专家合作，分享了研究结果。

FIN7是一组俄罗斯犯罪集团（也称为Carbanak），自2015年中期以来一直活跃，主要目标是美国餐厅、赌场和酒店业，以用于攻击或在黑客市场中销售的财务信息。群集显示FIN7基础设施从Post Ltd（俄罗斯）和Smart Ape（爱沙尼亚）分配的IP地址接收通信。研究人员确定了25个由Stark分配的IP地址，用于托管与FIN7集团操作相关的域名。安全专家将发现报告给Stark的安全团队，Stark随后suspend了这些地址。Stark Industries Solutions是一家白标品牌，通过各种分销商销售服务。九个IP地址确定的起点是进一步调查的起点，还允许团队追踪和中断更多的FIN7基础设施和活动。第一个群集涉及四个IP地址，分配给Post Ltd，这是一家在俄罗斯北高加索地区运营的宽带服务提供商。在过去的30天，我们观察到这些IP地址与至少15个Stark分配的主机进行通信，我们将这些主机与Silent Push的研究中提到的TTPs相关联。这些主机包括86.104.72.16，这是Silent Push原始指标列表的一部分。

第二个群集由SmartApe三個IP地址组成，这是一家在爱沙尼亚运营的云主机服务提供商。报告继续：“过去30天，我们观察到这些IP地址与至少16个Stark分配的主机进行通信，我们将这些主机与Silent Push的研究中提到的TTPs相关联。再次，这些主机包括86.104.72.16。”专家们也注意到Post Ltd群集中确定的12个主机也出现在SmartApe群集中。

报告结尾：“此外，Stark的安全团队的见解还导致了对另外六个主机的发现，我们评估这些主机与同一活动相关。”

原文始发于微信公众号（黑猫安全）：研究人员发现了与黑客集团FIN7相关的新基础设施