Исследователи в области безопасности выявили инфраструктуру, принадлежащую угрожающему субъекту, который в настоящее время отслеживается как ShadowSyndicate и который, вероятно, использовал семь различных семейств программ-вымогателей в атаках за последний год.
Аналитики Group-IB, работающие совместно с компанией Bridewell и независимым исследователем Майклом Кочвара, с разной степенью уверенности утверждают, что ShadowSyndicate использовал программы-вымогатели Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus и Play в многочисленных атаках, зафиксированных с июля 2022 года.
На основании полученных данных исследователи полагают, что угрожающий агент может быть брокером первоначального доступа (IAB), хотя есть основания полагать, что ShadowSyndicate является аффилированным лицом в нескольких операциях с вымогательским ПО.
Свои выводы исследователи основывают на отчетливом отпечатке SSH, обнаруженном ими на 85 IP-серверах, большинство из которых были помечены как командно-контрольные машины Cobalt Strike.
"Мы назвали угрожающего агента, использующего отпечаток SSH, 1ca4cbac895fc3bd12417b77fc6ed31d ShadowSyndicate (предыдущее название Infra Storm)" - Group-IB.
Впервые аналитики увидели отпечаток пальца 16 июля 2022 года, и он все еще использовался в августе 2023 года.
Арсенал ShadowSyndicate
В ходе исследования команда исследователей использовала различные инструменты, включая такие системы обнаружения, как Shodan и Censys, а также различные методы OSINT. Это позволило обнаружить обширный след деятельности ShadowSyndicate.
Рассматривая серверы ShadowSyndicate, идентифицированные по отпечатку SSH, исследователи "обнаружили восемь различных водяных знаков [лицензионных ключей] Cobalt Strike".
Эти восемь серверов Cobalt Strike взаимодействовали с программами-вымогателями Cactus, Royal, Quantum, Nokoyawa, Play, Clop и BlackCat/ALPHV, развернутыми в сетях различных жертв.
Исследователи также обнаружили конфигурации Cobalt Strike, развернутые на двух серверах, но только на одном из них - на машине с SSH-отпечатком ShadowSyndicate.
В некоторых атаках ShadowSyndicate использовала инструмент проникновения Sliver, который ранее рассматривался как потенциальная замена Cobalt Strike.
Среди других инструментов, замеченных в атаках ShadowSyndicate, - загрузчик вредоносного ПО IcedID, загрузчик Matanbuchus MaaS и полезная нагрузка Meterpreter Metasploit.
Анализ серверов
Аналитики проверили гипотезу о том, что все 85 серверов с одинаковыми отпечатками ключей SSH, связанных с ShadowSyndicate, подключены к одному хостинг-провайдеру, но обнаружили 18 разных владельцев, 22 разных сетевых имени и 13 разных местоположений.
Анализ таких параметров Cobalt Strike C2, как дата обнаружения, водяные знаки или настройки времени сна, позволил получить высокодостоверные доказательства, связывающие ShadowSyndicate с программами Quantum, Nokoyawa и ALPHV/BlackCat ransomware.
В частности, аналитики связали серверы с атакой Quantum в сентябре 2022 года, тремя атаками Nokoyawa в IV квартале 2022 года и апреле 2023 года, а также атакой ALPHV в феврале 2023 года.
Group-IB и упомянутые сотрудничающие стороны нашли дополнительные доказательства, которые с меньшей степенью уверенности связывают ShadowSyndicate с вредоносными операциями Ryuk, Conti, Trickbot, Royal, Clop и Play.
В частности, для Clop в отчете Group-IB указано, что как минимум 12 IP-адресов, ранее связанных с операторами печально известной программы-вымогателя, были переданы ShadowSyndicate с августа 2022 года и теперь используются для Cobalt Strike.
Несмотря на многочисленные факты, указывающие на потенциальную связь, прямая связь между ShadowSyndicate и Clop с высокой степенью достоверности по-прежнему не установлена.
Эксперты Group-IB пришли к выводу, что ShadowSyndicate, скорее всего, является аффилированным лицом, работающим с различными операциями ransomware-as-a-service (RaaS). Однако для подтверждения этой версии необходимы дополнительные доказательства.
Тем не менее, эта работа очень важна для выявления и борьбы с киберпреступностью, и поэтому киберразведка приглашает внешних исследователей к открытому сотрудничеству и помощи в раскрытии оставшихся неясных деталей.
Для получения подробной информации, которая может помочь защитникам обнаружить и атрибутировать деятельность ShadowSyndicate, Group-IB опубликовала сегодня отчет, содержащий технические данные, полученные в ходе исследования.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!