Siber güvenlik araştırmacıları, Grup-Ib tarafından Infra Storm olarak da bilinen Shadowsyndicate’in saldırı altyapısı ve hizmet olarak birkaç fidye yazılımı (RAAS) operasyonları arasında önemli örtüşmeler ortaya çıkardılar.
Temmuz 2022’den bu yana aktif olan Shadowsyndicate, Alphav/Blackcat, Lockbit, Play, Royal, CL0P, Kaktüs ve Ransomhub gibi yüksek profilli RAAS markalarıyla bağlantılıdır.
Saf bir başlangıç erişim brokeri (IAB) ‘den daha fazla RAAS bağlı kuruluşu olarak işlev gören grup, Rusya, Ryuk/Conti, Fin7 ve TrueBot (Silence.downloader) gibi taktik, teknik ve prosedür (TTP) benzerliklerini, Rusya Corp (Silence.downloader) gibi, Rusya Corp (Silence.downloader) gibi, Rusya Corp ile ilişkili olarak, Naty Corp ile ilişkili olarak ilişkili olarak ilişkilidir.
Prob iki tarama IP adresi ile başladı (91.238.181[.]225 ve 5.188.86[.]169) Ortak Güvenli Kabuk (SSH) parmak izi (B5: 4C: CE: 68: 9e: 91: 39: E8: 24: B6: E5: 1A: 84: A7: A1: 03) sergileyen, Shodan ve FOFA gibi araçlar aracılığıyla 138 sunucuya genişleyerek.
Bu parmak izi, Eylül 2023’te Grup-IB tarafından daha önce bildirilen bir TTP ile hizalanır ve grubun esnek altyapısının kalıcı olarak izlenmesini sağlar.
Üst düzey fidye yazılımı ekosistemleri ile örtüşüyor
Orta örtüşmeler, bağlı kuruluşların Lockbit ve Threeam fidye yazılımlarını konuşlandırdığı Ekim 2023’ten itibaren Lockbit 3.0’ın Citrix Bleed (CVE-2023-4966) sömürü kampanyasıyla tanımlandı.
147.78.47 gibi sunucularda kobalt grev işaretleri de dahil olmak üzere yaklaşık 40 IP adresi kesişti[.]226 ve 147.78.47[.]231, UAC-0056 (Cadet Blizzard, Gru-bağlı) ve CL0P operasyonlarına bağlanan filigranlara bağlı hareket güvenlik açıklarından yararlandı.
Blackcat/ALPHV’nin potansiyel bir markası olan CICADA3301 ile ortaya çıktı, pessfiltrasyon sunucularını paylaştı ve ScreEnconnect kusurlarını (CVE-2024-1708/1709), siyah BASTA ve BL00DY fidye yazılımlarının yanında kullandı.
Altyapı bağları, Toneshell Backdoor varyantları aracılığıyla Çinli aktörler ve Rustoor ve Maui fidye yazılımı kullanan Andariel (Onyx sleet) gibi Kuzey Koreli gruplar da dahil olmak üzere devlet destekli gelişmiş ısrarlı tehditlere (APT’ler) genişletildi.
Sahte Google Reklamları ve Deepseek LLM Lures aracılığıyla dağıtılan Atomic (AMOS) ve Poseidon gibi infostealers ile örtüşüyor, Shadowsyndicate’in daha geniş siber suç ekosistemlerindeki rolünü, Brutus gibi kaba-force botnets aracılığıyla APT’lere erişimi potansiyel olarak kolaylaştırıyor.
Kurşun geçirmez hosters ağı
Rapora göre, araştırmacılar Shadowsyndicate’in Panama, Seychelles ve ABD Virgin Adaları’ndaki açık deniz kuruluşları aracılığıyla Rusya’dan işletilen istihbarat ajansı barındırma özelliklerini sergileyen, Avrupa’da özel kurşun geçirmez barındırma sağlayıcılar (BPHS) ağına eriştiğine dair ılımlı güvenle değerlendiriyorlar.
VPS, VPN veya proxy hizmetleri olarak gizlenen bu BPH’ler, AS209588 (Flyservers SA), AS209132 (ALVIVA Holding Limited) ve As-Tamatiya (22 asns’i kapsayan) gibi imbricated otonom sistem numaraları (ASNS) yoluyla yayından kaldırma esnekliği sağlar.
Mikhail Slipenchuk gibi oligarklar da dahil olmak üzere Kremlin ilgi alanlarına bağlantılar potansiyel durum hizalamasının altını çiziyor.
2024 ABD başkanlık seçimlerini etkilemeyi amaçlayan Hunter Biden dizüstü bilgisayar sızıntısı gibi Hunter Biden dizüstü bilgisayar sızıntısı gibi yabancı bilgi manipülasyonu ve parazit (FIMI) operasyonlarıyla düşük güven bağları, siber suçları jeopolitik bozulma ile karıştıran hibrit tehditleri vurgulamaktadır.
Altyapı ayrıca Decoydog (DNS tünelleme üzerinden pupyrat) ve Amadey Loaders ve Nitol kötü amaçlı yazılımları içeren kampanyalarla kesişmektedir. Mayıs 2025 itibariyle ağ aktif olarak kalır, güvenlik açıklarını tarar ve yükleri dağıtır.
Shadowsyndicate’in yenilikçi düzeyinde sofistike, sıfır günleri ve organizasyon ölçeği kaynaklarından yararlanıyor, onu Ukrayna’daki savaş alanı ittifaklarını yankılayan Rusça, Kuzey Koreli ve muhtemelen Çin aptlerini yakıtlı bir hibrit IAB olarak konumlandırıyor.
Uzlaşma Göstergeleri (IOCS)
| Değer | Tip | Tanım |
|---|---|---|
| 47890 | Asn | Yönetilmeyen Ltd |
| 215540 | Asn | Global Connectivity Solutions LLP |
| 209272 | Asn | Alviva Holding Limited |
| 209132 | Asn | Alviva Holding Limited |
| 59580 | Asn | Battfliyei Media Ltd. |
| 273045 | Asn | Datahome SA |
| 57043 | Asn | Hostkey BV |
| 50867 | Asn | Hostkey BV |
| 49453 | Asn | Global Katman BV |
| 43350 | Asn | Nforce Entertainment BV |
| Tamatiya | VARLIK | 22 ASNS (eski, 2014’te oluşturuldu) |
| 4vendeta | VARLIK | 22 ASNS (2021’in başlarında oluşturulan AS-Tamatiya’dan klonlanmış yeni AS-SET) |
| 88.214.25.246 | IPv4-ADDR | Güvenli Kabuk (SSH) Shadowsyndicate’in parmak izi (2 Mayıs 2025’te FOFA’dan çıkarıldı) |
| 147.78.46.104 | IPv4-ADDR | Güvenli Kabuk (SSH) Shadowsyndicate’in parmak izi (2 Mayıs 2025’te FOFA’dan çıkarıldı) |
| 193.142.30.96 | IPv4-ADDR | Güvenli Kabuk (SSH) Shadowsyndicate’in parmak izi (2 Mayıs 2025’te FOFA’dan çıkarıldı) |
| 200.107.207.13 | IPv4-ADDR | Güvenli Kabuk (SSH) Shadowsyndicate’in parmak izi (2 Mayıs 2025’te FOFA’dan çıkarıldı) |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!