ShadowSyndicate - 七种勒索软件背后的新 APT

网络安全专家透露，存在一个名为 ShadowSyndicate 的新网络犯罪组织，之前被称为 Infra Storm。该组织涉嫌在过去一年内使用了多达七个不同的勒索软件系列。

ShadowSyndicate 被定性为与各种勒索软件团体和勒索软件程序附属机构合作的威胁行为者，Group-IB 和 Bridewell 的联合技术报告中对此进行了详细说明。

该组织自 2022 年 7 月 16 日开始运营，一直与 Quantum、Nokoyawa、BlackCat、Royal、Cl0p、Cactus 和 Play 病毒株相关的勒索软件活动有关。此外，他们还部署了 Cobalt Strike 和 Sliver 等现成的后开发工具，以及 IcedID 和 Matanbuchus 等加载器。

这些发现基于对 85 台服务器上不同 SSH 指纹 (1ca4cbac895fc3bd12417b77fc6ed31d) 的识别，其中 52 台服务器充当 Cobalt Strike 的命令和控制 (C2)。在这些服务器中，已检测到八个不同的 Cobalt Strike 许可证密钥（或水印）。

这些服务器大多数 (23) 位于巴拿马，其次是塞浦路斯 (11)、俄罗斯 (9)、塞舌尔 (8)、哥斯达黎加 (7)、捷克 (7)、伯利兹 (6)、保加利亚 (3) 、洪都拉斯 (3) 和荷兰 (3)。

与其他网络犯罪组织的潜在联系

此外，Group-IB 还发现将 ShadowSyndicate 连接到 TrickBot、Ryuk/Conti、FIN7 和 TrueBot 恶意软件操作的基础设施重叠。值得注意的是，自 2022 年 8 月以来，已有一些与 Cl0p 勒索软件附属公司关联的 IP 地址转变为 ShadowSyndicate 所有权的实例，这表明这些组织之间可能共享基础设施。

这一消息的发布恰逢德国执法当局宣布对与 DoppelPaymer 勒索软件组织相关的个人进行第二次有针对性的行动。德国和乌克兰对两名嫌疑人执行了搜查令，据称两人在网络中负有关键责任，并从勒索软件攻击收益中受益。他们的身份尚未公开。

此外，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 的联合咨询强调了一个名为 Snatch（以前称为 Team Truniger）的双重勒索行为者。自 2021 年中期以来，该威胁组织一直以各种关键基础设施部门为目标，使用多种方法来获取网络访问权限并保持持久性。这些方法包括利用远程桌面协议 (RDP) 漏洞、暴力破解、从犯罪论坛获取受损凭据以及采用策略逃避检测，例如将 Windows 系统重新启动到安全模式。