Μια προηγουμένως άγνωστη ομάδα hacking έχει δημιουργήσει μια συλλογή από πάνω από 80 command-and-control (C2) servers για malware implants τα τελευταία δύο χρόνια. Η ομάδα, την οποία οι ερευνητές ονομάζουν τώρα ShadowSyndicate, πιστεύεται ότι είναι είτε initial access broker είτε ένας affiliate που συνεργάζεται με πολλές επιχειρήσεις ransomware-as-a-service (RaaS).
Οι αναλυτές της Group-IB συνεργάστηκαν με τον ερευνητή Joshua Penny από την ευρωπαϊκή MSSP Bridewell και τον ανεξάρτητο ερευνητή κακόβουλου λογισμικού Michael Koczwara για να διερευνήσουν όλες τις συνδέσεις που βρήκαν και να προσπαθήσουν να καθορίσουν τι είναι το ShadowSyndicate: ένας server host που αναπτύσσει servers με το ίδιο αποτύπωμα SSH, ένας μηχανικός DevOps για απειλές, μια υπηρεσία bulletproof hosting για κυβερνοεγκληματίες, ένας initial access broker ή ένας RaaS affiliate.
Συνδέσεις με διάφορα remote access implants
Περισσότεροι από 50 servers από αυτούς που εντοπίστηκε το SSH αποτύπωμα της ShadowSyndicate, χρησιμοποιήθηκαν ως διακομιστές C2 για εμφυτεύματα Cobalt Strike. Το Cobalt Strike είναι ένα εμπορικό εργαλείο penetration testing που συνήθως πωλείται under license, αλλά έχει γίνει αγαπημένο με πολλές ομάδες επιτιθέμενων που χρησιμοποιούν cracked εκδόσεις.
Κάθε Cobalt Strike implant έχει συνήθως ένα watermark που συνήθως συνδέεται με ένα μοναδικό κλειδί άδειας, αλλά οι cracked εκδόσεις που χρησιμοποιούν οι επιτιθέμενοι έχουν custom watermarks όπως το 12345. Μεταξύ των server που λειτουργούν από την ShadowSyndicate, οι ερευνητές βρήκαν Cobalt Strike watermarks που ήταν προηγουμένως συνδεδεμένα με επιθέσεις που οδήγησαν στην εγκατάσταση των οικογενειών των ransomware Royal, Cactus, Quantum και Nokoyawa.
Άλλοι servers με δακτυλικό αποτύπωμα SSH της ομάδας ShadowSyndicate χρησιμοποιήθηκαν ως διακομιστές C2 για το Sliver, ένα εργαλείο δοκιμής διείσδυσης ανοιχτού κώδικα γραμμένο σε Go· για το IcedID, ένα Trojan που έχει χρησιμοποιηθεί ως κακόβουλο λογισμικό που έγινε drop από πολλές συμμορίες ransomware τα τελευταία χρόνια· για το Meterpreter, το implant από το penetration testing framework Metasploit· και για το Matanbuchus, ένα πρόγραμμα φόρτωσης Malware-as-a-Service (MaaS) που μπορεί επίσης να χρησιμοποιηθεί για την ανάπτυξη ωφέλιμων φορτίων.
Πράγματι, μπορεί να υπάρχει ακόμα και σύνδεση μεταξύ κάποιων από αυτά. Για παράδειγμα, το IcedID έχει χρησιμοποιηθεί για την εγκατάσταση εμφυτευμάτων του Cobalt Strike στο παρελθόν. Έχει επίσης χρησιμοποιηθεί σε σύνδεση με τις οικογένειες ransomware Karakurt, RansomEXX, Black Basta, Nokoyawa, Quantum, REvil, Xingteam και Conti.
Ένας επιτυχημένος ransomware affiliate
Οι ερευνητές δηλώνουν ότι είναι αρκετά βέβαιοι ότι το ShadowSyndicate δεν είναι ένα hosting service επειδή οι servers βρίσκονταν σε 13 διαφορετικές χώρες – με τον Παναμά να είναι η πρώτη επιλογή – και σε διαφορετικά δίκτυα που ανήκουν σε διάφορους οργανισμούς.
Οι ερευνητές ανακάλυψαν ισχυρές συνδέσεις μεταξύ του ShadowSyndicate και επιθέσεων με τα ransomware Quantum (Σεπτέμβριος 2022), Nokoyawa (Οκτώβριος 2022, Νοέμβριος 2022 και Μάρτιος 2023) και ALPHV (γνωστό και ως BlackCat) τον Φεβρουάριο 2023. Εντοπίστηκαν ασθενέστερες συνδέσεις με τα ransomware Royal, Cl0p και Play.
Υπάρχει η πιθανότητα ότι η ομάδα ShadowSyndicate είναι ένας initial access broker, ένας τύπος απειλητικού παράγοντα που παραβιάζει συστήματα και πωλεί την πρόσβαση που έχει κατακτήσει σε άλλους κυβερνοεγκληματίες, συμπεριλαμβανομένων συμμοριών λογισμικού λιγότερης αξιοπιστίας. Ωστόσο, οι ερευνητές πιστεύουν ότι είναι πιο πιθανό η ομάδα να είναι πραγματικά ένας ανεξάρτητος συνεργάτης που εργάζεται για πολλές λειτουργίες RaaS.
Στον κόσμο των ransomware, οι affiliates αναλαμβάνουν να διεισδύσουν σε οργανισμούς και να εγκαταστήσουν προγράμματα ransomware, κερδίζοντας ένα μεγάλο ποσοστό από τα λύτρα. Οι προγραμματιστές των ransomware συνήθως παρέχουν το εργαλείο δημιουργίας malware και την υποδομή, όπως η ιστοσελίδα διαρροής δεδομένων και η ιστοσελίδα διαπραγμάτευσης λύτρων. Επίσης, αναλαμβάνουν τη διαπραγμάτευση με τα θύματα και φροντίζουν για την πληρωματική υποδομή. Ωστόσο, δεν ασχολούνται με την διείσδυση και την εγκατάσταση του malware οι ίδιοι.
Πηγή πληροφοριών: csoonline.com
