ShadowSyndicate меняет тактику: обнаружены новые SSH-отпечатки и ротация инфраструктуры

Кластер ShadowSyndicate, впервые задокументированный Group-IB в 2023 году, известен использованием уникальных SSH-отпечатков (fingerprints) для управления обширной сетью серверов. Каждый такой отпечаток, по сути, является цифровым ключом доступа, и его присутствие на множестве серверов позволяет исследователям связывать разрозненные кампании в единую картину. Инфраструктура группы традиционно связана с различными семействами вредоносного ПО и программами-вымогателями (ransomware).

Однако последний анализ выявил значительные изменения. Ранее группа использовала один SSH-отпечаток для большого количества серверов. Теперь эксперты подтвердили использование как минимум двух новых отпечатков: "ddd9ca54c1309cde578062cba965571e" и "55c658703c07d6344e325ea26cf96c3b". Более того, обнаружена новая тактика: ShadowSyndicate начал передавать серверы между разными своими SSH-кластерами, иногда меняя ключи доступа. В легитимном сценарии это похоже на передачу сервера новому владельцу. Однако исследователи зафиксировали случаи, когда старые и новые ключи одновременно присутствовали на одних и тех же серверах, что позволило раскрыть связь между ними.

Эта ошибка в операционной безопасности (OPSEC) стала ключом к обнаружению новых кластеров инфраструктуры. Всего в рамках исследования было проанализировано более 20 серверов, используемых в качестве командных центров (C2). На них найдены следы широкого спектра инструментов для атак, включая Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT (удаленный троян), MeshAgent и Brute Ratel. Состав инструментария остался характерным для группы, что подчеркивает согласованность ее операций.

Особое внимание исследователи уделили связям инфраструктуры ShadowSyndicate с известными группами вымогателей. Проанализированные серверы ассоциируются с активностью таких групп, как Cl0p (связь с Truebot), ALPHV/BlackCat, Black Basta, Ryuk и Malsmoke. Например, сервер 194.165.16[.]64 одновременно использовался с тремя разными SSH-отпечатками ShadowSyndicate и связывается с кампаниями ALPHV/BlackCat и Ryuk.

При этом предпочтения группы в выборе хостинг-провайдеров остались неизменными. Несмотря на то что серверы имеют разных формальных владельцев и расположены в разных юрисдикциях, они часто находятся в одних и тех же автономных системах (ASN). Следование знакомым шаблонам создает предсказуемые паттерны, которые можно использовать для корреляции инфраструктуры и проактивного обнаружения.

Истинная природа ShadowSyndicate до конца не ясна. Согласно данным Group-IB, существует две основные гипотезы. Группа может действовать как брокер начального доступа (Initial Access Broker, IAB), продавая скомпрометированный доступ к сетям другим преступникам. Альтернативная версия предполагает, что кластер предоставляет услуги «пуленепробиваемого» хостинга (bulletproof hosting) для других киберпреступных группировок.

Эволюция методов ShadowSyndicate демонстрирует рост их профессионализма. Ротация SSH-ключей может указывать на усложнение внутренней структуры кластера, внедрение контроля доступа или разделение обязанностей. Эти изменения требуют повышенного внимания со стороны специалистов по безопасности. Эксперты рекомендуют добавить индикаторы компрометации (IOC) из этого отчета в системы мониторинга, а также тщательно отслеживать сетевую активность, связанную с автономными системами, которые предпочитает группа.

Данное исследование подчеркивает, что даже опытные угрозы, чьи методы кажутся устоявшимися, продолжают адаптироваться и развиваться. Следовательно, понимание их меняющейся тактики и инфраструктуры остается критически важным для эффективной защиты.

IPv4

• 103.214.147.176
• 103.214.147.177
• 103.214.147.178
• 103.214.147.181
• 103.214.147.182
• 103.214.147.187
• 141.98.80.158
• 141.98.82.219
• 141.98.82.229
• 141.98.82.243
• 141.98.83.90
• 147.45.112.198
• 147.45.112.203
• 147.45.112.205
• 147.45.112.219
• 147.45.112.220
• 147.45.112.249
• 147.45.112.253
• 147.78.46.134
• 147.78.46.164
• 147.78.46.29
• 147.78.46.30
• 147.78.46.31
• 147.78.46.69
• 147.78.46.81
• 147.78.46.83
• 147.78.47.178
• 147.78.47.211
• 147.78.47.221
• 147.78.47.223
• 147.78.47.227
• 147.78.47.236
• 147.78.47.243
• 147.78.47.246
• 147.78.47.249
• 147.78.47.250
• 179.60.146.241
• 179.60.146.53
• 179.60.147.180
• 179.60.149.207
• 179.60.149.214
• 179.60.149.222
• 179.60.149.223
• 179.60.149.232
• 179.60.149.235
• 179.60.149.241
• 179.60.149.244
• 179.60.149.245
• 179.60.149.248
• 179.60.149.249
• 179.60.149.251
• 179.60.149.252
• 179.60.149.253
• 179.60.150.117
• 179.60.150.145
• 179.60.150.148
• 179.60.150.151
• 185.232.67.13
• 185.232.67.15
• 185.55.242.150
• 185.99.3.99
• 193.142.30.158
• 193.142.30.175
• 193.142.30.194
• 193.142.30.205
• 193.142.30.211
• 193.142.30.235
• 193.142.30.37
• 193.142.30.49
• 193.142.30.60
• 193.142.30.64
• 193.142.30.99
• 193.24.211.242
• 193.24.211.244
• 193.24.211.249
• 193.29.13.150
• 193.29.13.167
• 193.29.13.217
• 193.29.13.240
• 194.135.24.240
• 194.135.24.241
• 194.135.24.242
• 194.135.24.245
• 194.135.24.248
• 194.135.24.249
• 194.135.24.250
• 194.165.16.53
• 194.165.16.54
• 194.165.16.55
• 194.165.16.56
• 194.165.16.57
• 194.165.16.58
• 194.165.16.59
• 194.165.16.64
• 194.165.16.79
• 194.165.16.80
• 194.165.16.81
• 194.165.16.82
• 194.165.16.90
• 194.165.16.91
• 194.165.16.92
• 194.165.16.93
• 194.165.16.94
• 194.165.16.95
• 194.34.239.33
• 194.34.239.44
• 200.107.207.102
• 200.107.207.26
• 31.41.33.241
• 31.41.33.242
• 37.156.246.166
• 37.156.246.168
• 45.13.212.243
• 45.145.20.211
• 45.182.189.103
• 45.182.189.107
• 45.182.189.109
• 45.182.189.110
• 45.182.189.114
• 45.182.189.118
• 45.182.189.120
• 45.182.189.181
• 45.182.189.194
• 45.182.189.224
• 45.182.189.71
• 45.182.189.91
• 45.182.189.92
• 45.227.252.199
• 45.227.252.226
• 45.227.252.228
• 45.227.252.230
• 45.227.252.244
• 45.227.252.247
• 45.227.252.249
• 45.227.252.253
• 45.227.253.21
• 45.227.255.189
• 45.227.255.213
• 45.227.255.221
• 45.227.255.28
• 45.227.255.29
• 45.227.255.31
• 45.227.255.34
• 45.227.255.51
• 45.227.255.74
• 46.161.27.113
• 46.161.27.151
• 46.161.27.152
• 46.161.27.153
• 46.161.27.155
• 46.161.27.158
• 46.161.27.212
• 46.161.40.118
• 46.161.40.128
• 46.161.40.27
• 46.161.40.92
• 46.161.40.96
• 5.178.1.13
• 5.178.1.17
• 5.188.206.214
• 5.188.86.162
• 5.188.86.173
• 5.188.86.175
• 5.188.86.176
• 5.188.86.184
• 5.188.86.185
• 5.188.86.187
• 5.188.86.20
• 5.188.86.200
• 5.188.86.21
• 5.188.86.217
• 5.188.86.227
• 5.188.86.233
• 5.188.86.234
• 5.188.86.237
• 5.188.86.66
• 5.188.86.70
• 5.188.86.72
• 5.188.87.35
• 5.188.87.36
• 5.188.87.37
• 5.188.87.39
• 5.188.87.40
• 5.188.87.46
• 5.188.87.47
• 5.188.87.49
• 5.188.87.59
• 62.164.177.240
• 62.164.177.243
• 62.164.177.252
• 78.128.112.137
• 78.128.112.138
• 78.128.112.199
• 78.128.112.222
• 81.19.135.212
• 81.19.135.229
• 81.19.135.234
• 81.19.135.238
• 81.19.135.243
• 81.19.136.197
• 81.19.136.200
• 81.19.136.207
• 81.19.136.231
• 81.19.136.234
• 81.19.136.244
• 81.19.136.253
• 81.19.138.150
• 81.19.138.201
• 81.19.138.22
• 81.19.138.27
• 81.19.138.31
• 81.19.138.51
• 81.19.138.58
• 81.19.138.59
• 81.19.138.61
• 81.19.138.89
• 81.19.138.91
• 81.19.138.92
• 88.214.25.198
• 88.214.25.199
• 88.214.25.211
• 88.214.25.221
• 88.214.25.235
• 88.214.25.238
• 88.214.25.242
• 88.214.25.243
• 88.214.25.244
• 88.214.25.245
• 88.214.25.249
• 88.214.25.252
• 88.214.25.253
• 88.214.26.27
• 88.214.26.28
• 88.214.26.29
• 88.214.26.31
• 88.214.26.33
• 88.214.26.34
• 88.214.27.100
• 88.214.27.101
• 88.214.27.165
• 88.214.27.169
• 88.214.27.170
• 88.214.27.172
• 88.214.27.175
• 88.214.27.177
• 88.214.27.179
• 88.214.27.38
• 88.214.27.43
• 91.199.163.59
• 91.199.163.65
• 91.238.181.235
• 91.238.181.239
• 91.238.181.250
• 92.118.36.203
• 92.118.36.236
• 92.118.36.252

MD5

• 55c658703c07d6344e325ea26cf96c3b
• ddd9ca54c1309cde578062cba965571e