CL0P, Lockbit ve RansomHub dahil olmak üzere birden fazla fidye yazılım grubu tarafından kullanılan Shadowsyndicate altyapısı


Siber güvenlik araştırmacıları, Grup-Ib tarafından Infra Storm olarak da bilinen Shadowsyndicate’in saldırı altyapısı ve hizmet olarak birkaç fidye yazılımı (RAAS) operasyonları arasında önemli örtüşmeler ortaya çıkardılar.

Temmuz 2022’den bu yana aktif olan Shadowsyndicate, Alphav/Blackcat, Lockbit, Play, Royal, CL0P, Kaktüs ve Ransomhub gibi yüksek profilli RAAS markalarıyla bağlantılıdır.

Saf bir başlangıç erişim brokeri (IAB) ‘den daha fazla RAAS bağlı kuruluşu olarak işlev gören grup, Rusya, Ryuk/Conti, Fin7 ve TrueBot (Silence.downloader) gibi taktik, teknik ve prosedür (TTP) benzerliklerini, Rusya Corp (Silence.downloader) gibi, Rusya Corp (Silence.downloader) gibi, Rusya Corp ile ilişkili olarak, Naty Corp ile ilişkili olarak ilişkili olarak ilişkilidir.

Prob iki tarama IP adresi ile başladı (91.238.181[.]225 ve 5.188.86[.]169) Ortak Güvenli Kabuk (SSH) parmak izi (B5: 4C: CE: 68: 9e: 91: 39: E8: 24: B6: E5: 1A: 84: A7: A1: 03) sergileyen, Shodan ve FOFA gibi araçlar aracılığıyla 138 sunucuya genişleyerek.

Bu parmak izi, Eylül 2023’te Grup-IB tarafından daha önce bildirilen bir TTP ile hizalanır ve grubun esnek altyapısının kalıcı olarak izlenmesini sağlar.

Üst düzey fidye yazılımı ekosistemleri ile örtüşüyor

Orta örtüşmeler, bağlı kuruluşların Lockbit ve Threeam fidye yazılımlarını konuşlandırdığı Ekim 2023’ten itibaren Lockbit 3.0’ın Citrix Bleed (CVE-2023-4966) sömürü kampanyasıyla tanımlandı.

Shadowsyndicate
MSI dosyasının C&C uç noktaları

147.78.47 gibi sunucularda kobalt grev işaretleri de dahil olmak üzere yaklaşık 40 IP adresi kesişti[.]226 ve 147.78.47[.]231, UAC-0056 (Cadet Blizzard, Gru-bağlı) ve CL0P operasyonlarına bağlanan filigranlara bağlı hareket güvenlik açıklarından yararlandı.

Blackcat/ALPHV’nin potansiyel bir markası olan CICADA3301 ile ortaya çıktı, pessfiltrasyon sunucularını paylaştı ve ScreEnconnect kusurlarını (CVE-2024-1708/1709), siyah BASTA ve BL00DY fidye yazılımlarının yanında kullandı.

Altyapı bağları, Toneshell Backdoor varyantları aracılığıyla Çinli aktörler ve Rustoor ve Maui fidye yazılımı kullanan Andariel (Onyx sleet) gibi Kuzey Koreli gruplar da dahil olmak üzere devlet destekli gelişmiş ısrarlı tehditlere (APT’ler) genişletildi.

Sahte Google Reklamları ve Deepseek LLM Lures aracılığıyla dağıtılan Atomic (AMOS) ve Poseidon gibi infostealers ile örtüşüyor, Shadowsyndicate’in daha geniş siber suç ekosistemlerindeki rolünü, Brutus gibi kaba-force botnets aracılığıyla APT’lere erişimi potansiyel olarak kolaylaştırıyor.

Kurşun geçirmez hosters ağı

Rapora göre, araştırmacılar Shadowsyndicate’in Panama, Seychelles ve ABD Virgin Adaları’ndaki açık deniz kuruluşları aracılığıyla Rusya’dan işletilen istihbarat ajansı barındırma özelliklerini sergileyen, Avrupa’da özel kurşun geçirmez barındırma sağlayıcılar (BPHS) ağına eriştiğine dair ılımlı güvenle değerlendiriyorlar.

VPS, VPN veya proxy hizmetleri olarak gizlenen bu BPH’ler, AS209588 (Flyservers SA), AS209132 (ALVIVA Holding Limited) ve As-Tamatiya (22 asns’i kapsayan) gibi imbricated otonom sistem numaraları (ASNS) yoluyla yayından kaldırma esnekliği sağlar.

Mikhail Slipenchuk gibi oligarklar da dahil olmak üzere Kremlin ilgi alanlarına bağlantılar potansiyel durum hizalamasının altını çiziyor.

2024 ABD başkanlık seçimlerini etkilemeyi amaçlayan Hunter Biden dizüstü bilgisayar sızıntısı gibi Hunter Biden dizüstü bilgisayar sızıntısı gibi yabancı bilgi manipülasyonu ve parazit (FIMI) operasyonlarıyla düşük güven bağları, siber suçları jeopolitik bozulma ile karıştıran hibrit tehditleri vurgulamaktadır.

Altyapı ayrıca Decoydog (DNS tünelleme üzerinden pupyrat) ve Amadey Loaders ve Nitol kötü amaçlı yazılımları içeren kampanyalarla kesişmektedir. Mayıs 2025 itibariyle ağ aktif olarak kalır, güvenlik açıklarını tarar ve yükleri dağıtır.

Shadowsyndicate’in yenilikçi düzeyinde sofistike, sıfır günleri ve organizasyon ölçeği kaynaklarından yararlanıyor, onu Ukrayna’daki savaş alanı ittifaklarını yankılayan Rusça, Kuzey Koreli ve muhtemelen Çin aptlerini yakıtlı bir hibrit IAB olarak konumlandırıyor.

Uzlaşma Göstergeleri (IOCS)

Değer Tip Tanım
47890 Asn Yönetilmeyen Ltd
215540 Asn Global Connectivity Solutions LLP
209272 Asn Alviva Holding Limited
209132 Asn Alviva Holding Limited
59580 Asn Battfliyei Media Ltd.
273045 Asn Datahome SA
57043 Asn Hostkey BV
50867 Asn Hostkey BV
49453 Asn Global Katman BV
43350 Asn Nforce Entertainment BV
Tamatiya VARLIK 22 ASNS (eski, 2014’te oluşturuldu)
4vendeta VARLIK 22 ASNS (2021’in başlarında oluşturulan AS-Tamatiya’dan klonlanmış yeni AS-SET)
88.214.25.246 IPv4-ADDR Güvenli Kabuk (SSH) Shadowsyndicate’in parmak izi (2 Mayıs 2025’te FOFA’dan çıkarıldı)
147.78.46.104 IPv4-ADDR Güvenli Kabuk (SSH) Shadowsyndicate’in parmak izi (2 Mayıs 2025’te FOFA’dan çıkarıldı)
193.142.30.96 IPv4-ADDR Güvenli Kabuk (SSH) Shadowsyndicate’in parmak izi (2 Mayıs 2025’te FOFA’dan çıkarıldı)
200.107.207.13 IPv4-ADDR Güvenli Kabuk (SSH) Shadowsyndicate’in parmak izi (2 Mayıs 2025’te FOFA’dan çıkarıldı)

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link