ShadowSyndicate - 七種勒索軟體背後的新 APT

網路安全專家透露，有一個名為 ShadowSyndicate 的新網路犯罪組織，之前被稱為 Infra Storm。該組織涉嫌在過去一年內使用了多達七個不同的勒索軟體系列。

ShadowSyndicate 被定性為與各種勒索軟體團體和勒索軟體程式附屬機構合作的威脅行為者，Group-IB 和 Bridewell 的聯合技術報告中對此進行了詳細說明。

該組織自 2022 年 7 月 16 日開始運營，一直與 Quantum、Nokoyawa、BlackCat、Royal、Cl0p、Cactus 和 Play 病毒株相關的勒索軟體活動有關。此外，他們還部署了 Cobalt Strike 和 Sliver 等現成的後開發工具，以及 IcedID 和 Matanbuchus 等載入器。

這些發現是基於對 85 台伺服器上不同 SSH 指紋 (1ca4cbac895fc3bd12417b77fc6ed31d) 的識別，其中 52 台伺服器充當 Cobalt Strike 的命令和控制 (C2)。在這些伺服器中，已偵測到八個不同的 Cobalt Strike 許可證金鑰（或浮水印）。

這些伺服器大多數 (23) 位於巴拿馬，其次是塞浦路斯 (11)、俄羅斯 (9)、塞席爾 (8)、哥斯達黎加 (7)、捷克 (7)、伯利茲 (6)、保加利亞 (3) 、宏都拉斯(3) 和荷蘭(3)。

與其他網路犯罪組織的潛在聯繫

此外，Group-IB 還發現將 ShadowSyndicate 連接到 TrickBot、Ryuk/Conti、FIN7 和 TrueBot 惡意軟體作業的基礎設施重疊。值得注意的是，自 2022 年 8 月以來，已有一些與 Cl0p 勒索軟體附屬公司關聯的 IP 位址轉變為 ShadowSyndicate 所有權的實例，這表明這些組織之間可能共享基礎設施。

這一消息的發布恰逢德國執法當局宣布對與 DoppelPaymer 勒索軟體組織相關的個人進行第二次有針對性的行動。德國和烏克蘭對兩名嫌疑人執行了搜查令，據稱兩人在網路中負有關鍵責任，並從勒索軟體攻擊收益中受益。他們的身份尚未公開。

此外，美國聯邦調查局 (FBI) 和網路安全與基礎設施安全局 (CISA) 的聯合諮詢強調了一個名為 Snatch（以前稱為 Team Truniger）的雙重勒索行為者。自 2021 年中期以來，該威脅組織一直以各種關鍵基礎設施部門為目標，使用多種方法來取得網路存取權限並保持持久性。這些方法包括利用遠端桌面協定 (RDP) 漏洞、暴力破解、從犯罪論壇取得受損憑證以及採用策略逃避偵測，例如將 Windows 系統重新啟動到安全模式。