ShadowSyndicate - 7 つのランサムウェア株の背後にある新しい APT
サイバーセキュリティの専門家は、以前は Infra Storm として識別されていた ShadowSyndicate として知られる新しいサイバー犯罪グループの存在を明らかにしました。このグループは、過去 1 年間に最大 7 つの異なるランサムウェア ファミリを利用した疑いがあります。
Group-IB と Bridewell の共同技術レポートで詳しく説明されているように、ShadowSyndicate は、さまざまなランサムウェア グループやランサムウェア プログラムの関連会社と協力する脅威アクターとして特徴付けられています。
2022 年 7 月 16 日から活動しているこのグループは、Quantum、Nokoyawa、BlackCat、Royal、Cl0p、Cactus、Play の各系統に関連するランサムウェア活動に関与しています。さらに、Cobalt Strike や Sliver などのすぐに利用できるエクスプロイト後ツールや、IcedID や Matanbuchus などのローダーも導入しました。
これらの調査結果は、85 台のサーバー上の個別の SSH フィンガープリント (1ca4cbac895fc3bd12417b77fc6ed31d) の識別に基づいており、そのうち 52 台は Cobalt Strike のコマンド アンド コントロール (C2) として機能します。これらのサーバーの中から、8 つの異なる Cobalt Strike ライセンス キー (またはウォーターマーク) が検出されました。
これらのサーバーの大部分 (23) はパナマにあり、続いてキプロス (11)、ロシア (9)、セイシェル (8)、コスタリカ (7)、チェコ (7)、ベリーズ (6)、ブルガリア (3) 、ホンジュラス (3)、オランダ (3)。
他のサイバー犯罪組織との潜在的な関連性
さらに、Group-IB は、ShadowSyndicate を TrickBot、Ryuk/Conti、FIN7、および TrueBot マルウェア操作に接続するインフラストラクチャが重複していることを特定しました。特に、2022 年 8 月以降、Cl0p ランサムウェア関連会社にリンクされている IP アドレスが ShadowSyndicate の所有権に移行する例があり、これらのグループ間でインフラストラクチャが共有されている可能性があることが示唆されています。
この暴露は、ドイツの法執行当局が、DoppelPaymer ランサムウェア グループに関連する個人に対する 2 回目の標的作戦の発表と一致しています。ドイツとウクライナの容疑者2人に対して捜査令状が執行され、両容疑者はネットワーク内で重要な責任を負い、ランサムウェア攻撃の収益から利益を得ていたとされる。彼らの身元は明らかにされていない。
さらに、米国連邦捜査局(FBI)とサイバーセキュリティ・インフラセキュリティ庁(CISA)の共同勧告は、スナッチ(旧チーム・トルニガー)と呼ばれる二重恐喝行為者を浮き彫りにしている。この脅威グループは、2021 年半ばからさまざまな重要なインフラストラクチャ セクターを標的にしており、複数の方法を使用してネットワーク アクセスを取得し、永続性を維持しています。これらの手法には、リモート デスクトップ プロトコル (RDP) の脆弱性の悪用、ブルート フォース、犯罪フォーラムから侵害された資格情報の取得、Windows システムをセーフ モードで再起動するなどの検出を回避する戦術の採用などが含まれます。