Admin
Администратор
Маскировка уровня «так себе». Group-IB нашла новые следы крупнейшего теневого провайдера.
Одно неверное движение, и схема начала разваливаться по швам.
За кулисами многих вымогательских атак остаётся незаметная, но важная часть экосистемы киберпреступности — инфраструктура, которая помогает злоумышленникам быстро разворачивать инструменты и менять площадки. Новый разбор Group-IB показывает, что кластер активности ShadowSyndicate продолжает развиваться, сохраняя узнаваемые технические привычки и одновременно усложняя маскировку связей между серверами.
ShadowSyndicate объединяет разные кампании за счёт пересечений инфраструктуры. Авторы отчёта отмечают, что участники кластера активно используют OpenSSH и обычно опираются на повторяющиеся SSH-отпечатки, которые позволяют связывать между собой большое число серверов. Ранее Group-IB описывала один из таких отпечатков, а команда Intrinsec позже сообщила ещё об одном похожем. В новой работе Group-IB подтверждает ещё два дополнительных SSH-отпечатка, которые тоже многократно встречались на разных узлах и формировали отдельные серверные кластеры.
Ключевым новым наблюдением стала тактика повторного использования уже задействованной инфраструктуры с переносом серверов между «SSH-кластерами». Внешне это может выглядеть как обычная смена владельца, но ошибки в операционной безопасности приводили к пересечению ключей и помогали доказать связь между «старым» и «новым» использованием ресурсов. По оценке Group-IB, как минимум два десятка серверов применялись в роли управляющих узлов для различных фреймворков.
В обнаруженной инфраструктуре фиксировались следы наборов инструментов, которые часто встречаются в атаках после первичного проникновения, включая Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent и Brute Ratel. Кроме того, телеметрия связывает часть серверов с активностью партнёров или групп, работающих с вымогательским ПО. В анализируемых кластерах упоминаются пересечения с операциями Cl0p, ALPHV BlackCat, Black Basta, Ryuk и MalSmoke, при этом для отдельных связей уровень уверенности оценивается как низкий из-за недостатка одновременных технических признаков.
Несмотря на расширение набора отпечатков и появление новой схемы «перетасовки» серверов, предпочтения по хостинг-провайдерам у ShadowSyndicate, по данным авторов, остаются довольно стабильными. Это делает инфраструктурные шаблоны более предсказуемыми для корреляции и раннего выявления. При этом окончательная роль ShadowSyndicate в криминальной цепочке всё ещё не подтверждена, Group-IB рассматривает версии о работе как брокера первичного доступа или как поставщика «непробиваемого» хостинга для других участников рынка.
Последнее редактирование:
