ShadowSyndicate — новый APT, стоящий за семью штаммами программ-вымогателей

Эксперты по кибербезопасности раскрыли существование новой киберпреступной группировки, известной как ShadowSyndicate, ранее известной как Infra Storm. Эту группу подозревают в использовании до семи различных семейств программ-вымогателей за последний год.

ShadowSyndicate характеризуется как злоумышленник, сотрудничающий с различными группами вымогателей и филиалами программ-вымогателей, как подробно описано в совместном техническом отчете Group-IB и Bridewell.

Действуя с 16 июля 2022 года, группа была связана с деятельностью программ-вымогателей, связанных со штаммами Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus и Play. Кроме того, они развернули легкодоступные инструменты пост-эксплуатации, такие как Cobalt Strike и Sliver, а также загрузчики, такие как IcedID и Matanbuchus.

Эти выводы основаны на идентификации отдельного отпечатка SSH (1ca4cbac895fc3bd12417b77fc6ed31d) на 85 серверах, из которых 52 служат для управления и контроля (C2) для Cobalt Strike. Среди этих серверов было обнаружено восемь различных лицензионных ключей (или водяных знаков) Cobalt Strike.

Большинство этих серверов (23) расположены в Панаме, за ней следуют Кипр (11), Россия (9), Сейшельские острова (8), Коста-Рика (7), Чехия (7), Белиз (6), Болгария (3). , Гондурас (3) и Нидерланды (3).

Потенциальные связи с другими киберпреступными группировками

Кроме того, Group-IB выявила перекрытие инфраструктуры, соединяющей ShadowSyndicate с вредоносными программами TrickBot, Ryuk/Conti, FIN7 и TrueBot. Примечательно, что с августа 2022 года были случаи, когда IP-адреса, связанные с филиалами программы-вымогателя Cl0p, переходили в собственность ShadowSyndicate, что предполагает потенциальное совместное использование инфраструктуры между этими группами.

Это разоблачение совпадает с объявлением правоохранительных органов Германии о второй целенаправленной операции против лиц, связанных с группой вымогателей DoppelPaymer. Ордера на обыск были исполнены в отношении двух подозреваемых в Германии и Украине, оба предположительно выполняли ключевые обязанности в сети и получали выгоду от атак с помощью программ-вымогателей. Их личности не разглашаются.

Кроме того, в совместном сообщении Федерального бюро расследований США (ФБР) и Агентства кибербезопасности и безопасности инфраструктуры (CISA) упоминается фигурант двойного вымогательства по имени Snatch (ранее Team Truniger). Эта группа угроз с середины 2021 года атакует различные критически важные сектора инфраструктуры, используя различные методы для получения доступа к сети и обеспечения устойчивости. Эти методы включают использование уязвимостей протокола удаленного рабочего стола (RDP), перебор, получение скомпрометированных учетных данных на криминальных форумах и использование тактик уклонения от обнаружения, таких как перезагрузка систем Windows в безопасном режиме.