زیرساخت مخرب و وسیع مرتبط با گروه سایبری ShadowSyndicate، گسترش یافته است. این خبر پس از کشف نشانههای فنی جدیدی منتشر شد که ارتباط بین دهها سرور را به یک اپراتور واحد نشان میدهد.
این یافتهها، اطلاعات تازهای را در مورد این گروه مجرمانه ارائه میدهند؛ گروهی که پیشتر با چندین گروه ربایندگی (ransomware) و فریمورکهای حملات شناخته شده مرتبط بوده است. بر اساس یک گزارش جدید منتشر شده توسط Group-IB، محققان گفتهاند ShadowSyndicate میتواند از طریق استفاده مجدد از اثر انگشتهای Secure Shell (SSH) ردیابی شود؛ رفتاری نادر در بین اپراتورهای سایبری که به محققان اجازه میدهد زیرساختها را در طول کمپینها مرتبط کنند.
در حالی که این گروه برای عملیات خود، تعداد زیادی سرور را مورد استفاده قرار میدهد، اما بهطور مداوم از OpenSSH بهره میبرد و کلیدهای دسترسی یکسان را به طور مکرر مستقر میکند؛ این مسئله الگوهای قابل شناسایی ایجاد میکند. ShadowSyndicate برای اولین بار در سال 2023 رسماً معرفی شد و از آن زمان تاکنون فعال باقی مانده و زیرساخت خود را بهگونهای توسعه و نگهداری کرده است که تحلیلگران آن را به طرز غیرمعمولی مداوم توصیف میکنند.
تحلیلهای اخیر، دو اثر انگشت SSH اضافی مرتبط با فعالیت ShadowSyndicate را تایید کردهاند. این موارد پس از مشاهده همپوشانی بین سرورهای شناختهشده و زیرساختهای جدید مستقر شده شناسایی شدند که نشاندهنده هماهنگی مداوم به جای استفاده مجدد مستقل است.
نکته قابل توجه در یافتههای اخیر، یک تکنیک جدید مشاهده شده برای انتقال سرورها بین خوشههای داخلی زیرساختی است. از لحاظ تئوری، این عمل شبیه به تغییر مالکیت قانونی سرور است. اما در عمل، استفاده مجدد از کلیدهای SSH پیوستگی بین محیطهای قدیمی و جدید را آشکار کرد که امکان تعیین منشأ را برای محققان فراهم نمود.
همچنین، ارائهدهندگان میزبانی و سیستمهای خودمختار (Autonomous Systems) همچنان در چندین خوشه ShadowSyndicate مشاهده میشوند. اگرچه مالکیت و موقعیت جغرافیایی متفاوت است، اما تکیه مکرر بر شبکههای آشنا باعث شده تا نگاشت زیرساختها با گذشت زمان آسانتر شود.
حداقل 20 سرور مرتبط با ShadowSyndicate به عنوان گرههای کنترل و فرمان (C2) برای طیف وسیعی از ابزارهای تهاجمی شناسایی شدهاند. این ابزارها شامل فریمورکهای تجاری تیم قرمز (red-team frameworks) و پلتفرمهای پس از بهرهبرداری منبع باز (open-source post exploitation platforms) است که نشان میدهد زیرساخت برای پشتیبانی از سبکهای حمله متنوع طراحی شده است.
محققان همچنین پیوندهایی بین سرورهای ShadowSyndicate و طرفداران چندین عملیات ربایندگی مشاهده کردهاند، گاهی با اطمینان متوسط تا بالا. گروههای مرتبط با بخشهایی از این زیرساخت عبارتند از Cl0p, ALPHV/BlackCat, Black Basta, Ryuk و Malsmoke.
با وجود حجم فزاینده شواهد، نقش دقیق ShadowSyndicate در اکوسیستم جرایم سایبری همچنان نامشخص است. محققان Group-IB خاطر نشان کردند: «در حال حاضر امکان تایید قطعی ماهیت دقیق ShadowSyndicate وجود ندارد؛ با این حال اطلاعات فعلی ما عمدتاً به دو گزینه اشاره دارد: یا آنها به عنوان یک Initial Access Broker (IAB) فعالیت میکنند یا خدمات Bulletproof Hosting (BPH) را ارائه میدهند.»
این تحقیق با استفاده از دادههای تلهمتری Group-IB، محیطهای تست عمومی و دادههای منبع باز، همراه با مشارکت Intrinsec انجام شده است.
به منظور دفاع در برابر این تهدید، Group-IB توصیه میکند شاخصهای مصالحه (IoC) را از این تحقیق به پلتفرمهای اطلاعات تهدید اضافه کنید و فعالیتهایی که به سیستمهای خودمختار پرکاربرد مرتبط هستند را زیر نظر داشته باشید. همچنین باید مراقب شکستهای مکرر احراز هویت چند عاملی (MFA)، ورود سریع مبتنی بر اعتبارنامه، مکانهای غیرعادی برای ورود و عدم تطابق بین تلاشهای ورود و اعلانهای 2FA یا MFA بود.
📌 توجه: این مطلب از منابع بینالمللی ترجمه و بازنویسی شده است.