Cymru、Silent Push 和 Stark Industries Solutions 团队的研究人员发现了与网络犯罪组织 FIN7 相关的新基础设施。

Cymru团队的研究人员确定了两个可能与网络犯罪组织FIN7有关的集群。该团队与 Silent Push 和 Stark Industries Solutions 的网络安全专家合作，他们分享了他们的发现。

FIN7 是一个俄罗斯犯罪集团（又名 Carbanak），自 2015 年年中以来一直活跃，它专注于美国的餐馆、赌博和酒店业，以收集用于攻击或在网络犯罪市场出售的金融信息。

这些集群分别显示了从分配给 Post Ltd（俄罗斯）和 Smart Ape（爱沙尼亚）的 IP 地址入站到 FIN7 基础设施的通信。研究人员确定了 25 个 Stark 分配的 IP 地址，用于托管与 FIN7 组执行的操作相关的域。

专家们向斯塔克的安全团队报告了他们的发现，安全团队立即暂停了这些地址。Stark 的初步反馈表明，受感染的主机可能是从他们的一个经销商那里获得的。Stark Industries Solutions 是一个白标品牌，通过各种经销商销售服务。确定的 9 个 IP 地址被用作进一步调查的起点，使团队能够追踪和破坏其他 FIN7 基础设施和活动。

第一个集群涉及分配给Post Ltd的四个IP地址，Post Ltd是一家在俄罗斯北高加索地区运营的宽带提供商。

“在过去的 30 天里，我们观察到这些 IP 地址与至少 15 个 Stark 分配的主机进行通信，我们将其与 Silent Push 研究中引用的 TTP 相关联。这些主机包括 86.104.72.16，它位于 Silent Push 的原始指标列表中。

第二个集群由分配给爱沙尼亚云托管提供商 SmartApe 的三个 IP 地址组成。

“在过去的 30 天里，我们观察到这些 IP 地址与至少 16 个 Stark 分配的主机进行通信，我们将其与 Silent Push 研究中引用的 TTP 相关联。同样，这些主机包括 86.104.72.16。

专家们还注意到，在Post Ltd集群中发现的12个宿主在SmartApe集群中也被观察到。

“除了在上述两个集群中确定的 19 个主机外，Stark 安全团队的见解还发现了另外 6 个主机，我们评估它们与同一活动有关，”报告总结道。