Cụm hoạt động độc hại ShadowSyndicate, được xác định lần đầu vào năm 2022, đã phát triển kỹ thuật quản lý hạ tầng của mình. Phương pháp mới này liên quan đến việc áp dụng một cơ chế chuyển đổi máy chủ, cho phép các tác nhân đe dọa luân chuyển khóa SSH trên nhiều máy chủ khác nhau. Sự thay đổi này làm cho việc theo dõi các hoạt động của nhóm trở nên khó khăn hơn đối với các đội ngũ an ninh mạng, đồng thời gia tăng thách thức trong việc phản ứng với các mối đe dọa mạng.
Tiến Hóa Trong Quản Lý Hạ Tầng của ShadowSyndicate
Ban đầu, tác nhân đe dọa ShadowSyndicate thu hút sự chú ý khi sử dụng một dấu vân tay SSH duy nhất (1ca4cbac895fc3bd12417b77fc6ed31d) trên nhiều máy chủ độc hại. Mô hình này đã tạo ra một dấu vết có thể theo dõi, giúp các nhà nghiên cứu an ninh mạng dễ dàng định vị và phân tích hoạt động của nhóm.
Tuy nhiên, chiến dịch hiện tại cho thấy một sự thay đổi đáng kể trong cách các tội phạm mạng quản lý hạ tầng tấn công của họ. ShadowSyndicate tái sử dụng các máy chủ đã được triển khai trước đó và luân chuyển nhiều khóa SSH trên toàn bộ hạ tầng của mình.
Khi được thực hiện một cách chính xác, quá trình chuyển đổi này có thể xuất hiện hợp pháp, giống như một máy chủ đã được chuyển giao cho một người dùng mới. Tuy nhiên, các lỗi về bảo mật vận hành (OpSec) đã cho phép các đội ngũ an ninh vẫn có thể xác định được những kết nối bất thường này.
Phát Hiện Các Dấu Vân Tay SSH Mới và Mô Hình Hành Vi
Các nhà phân tích của Group-IB đã xác định thêm hai dấu vân tay SSH khác (ddd9ca54c1309cde578062cba965571e và 55c658703c07d6344e325ea26cf96c3b). Những dấu vân tay này thể hiện các mô hình hành vi tương tự như dấu vân tay gốc, cho thấy sự liên tục trong hoạt động của ShadowSyndicate. Bạn có thể tìm hiểu thêm chi tiết về phát hiện này tại Group-IB Blog.
Những khám phá này diễn ra sau khi các nhà nghiên cứu của Intrinsec báo cáo một dấu vân tay SSH khác vào năm 2025. Điều này đã thúc đẩy một cuộc điều tra sâu hơn về các chiến thuật đang phát triển của tác nhân đe dọa.
Mỗi dấu vân tay SSH được phát hiện hình thành các cụm máy chủ riêng biệt, chia sẻ các đặc điểm tương đồng. Sự phân cụm này cung cấp cái nhìn sâu sắc về cấu trúc và mối liên hệ trong mạng lưới của ShadowSyndicate.
Hạ Tầng Command-and-Control (C2) và Bộ Công Cụ Khai Thác
Hạ tầng mới được phát hiện cho thấy các kết nối đến ít nhất 20 máy chủ đang hoạt động như các trung tâm chỉ huy và kiểm soát (C2). Các trung tâm này hỗ trợ các framework tấn công khác nhau, phục vụ nhiều mục đích độc hại.
Phân tích cho thấy ShadowSyndicate tiếp tục triển khai các bộ công cụ quen thuộc. Chúng bao gồm các công cụ như Cobalt Strike, MetaSploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent và Brute Ratel.
Các framework này cho phép nhóm duy trì quyền truy cập bền bỉ vào các mạng đã bị xâm nhập. Đồng thời, chúng cũng tạo điều kiện thuận lợi cho việc triển khai các payload ransomware.
Liên Kết Với Các Nhóm Ransomware Khác
Kiểm tra thêm các địa chỉ IP liên quan đã tiết lộ các kết nối đến nhiều nhóm ransomware khác nhau. Các nhóm này bao gồm Cl0p, ALPHV/BlackCat, Black Basta, Ryuk và Malsmoke.
Mô hình này gợi ý rằng ShadowSyndicate có thể hoạt động như một nhà môi giới truy cập ban đầu (Initial Access Broker – IAB). Ngoài ra, chúng cũng có thể cung cấp các dịch vụ bulletproof hosting cho các tội phạm mạng khác.
Ưu Tiên Nhà Cung Cấp Hosting và Tương Quan Hạ Tầng
Tác nhân đe dọa ShadowSyndicate thể hiện sự ưu tiên nhất quán đối với các nhà cung cấp hosting cụ thể trên tất cả các cụm được phát hiện. Sự lựa chọn này duy trì bất kể máy chủ có chủ sở hữu khác nhau hay nguồn gốc từ các lãnh thổ đa dạng.
Mặc dù vậy, sự liên kết với các số hệ thống tự trị (ASN) quen thuộc đã tạo ra các mô hình có thể dự đoán. Những mô hình này rất hữu ích cho việc tương quan hạ tầng và phát hiện chủ động các hoạt động độc hại, góp phần vào threat intelligence hiệu quả.
Chỉ Dẫn Bảo Mật và Phát Hiện Xâm Nhập
Các tổ chức nên tích hợp các chỉ số xâm nhập (IOCs) vào các nền tảng threat intelligence của mình. Việc theo dõi hoạt động liên quan đến các địa chỉ IP trong các hệ thống tự trị thường được sử dụng là rất cần thiết.
Các đội ngũ an ninh cần cảnh giác với các dấu hiệu bất thường. Cụ thể là các lần thất bại xác thực đa yếu tố (MFA) lặp đi lặp lại và số lượng lớn các lần cố gắng đăng nhập.
Ngoài ra, cần chú ý đến các lần cố gắng xác thực nhanh chóng với thông tin đăng nhập hợp lệ. Đây thường là dấu hiệu của các cuộc tấn công leo thang đặc quyền hoặc chiếm tài khoản.
Giám sát các vị trí nguồn đăng nhập bất thường và sự không khớp giữa các lần cố gắng đăng nhập. Đồng thời, theo dõi vị trí thiết bị nhận lời nhắc xác thực cũng có thể giúp phát hiện các nỗ lực xâm nhập mạng.
Indicators of Compromise (IOCs)
Các chỉ số xâm nhập (IOCs) sau đây đã được liên kết với hoạt động của ShadowSyndicate và nên được tích hợp vào hệ thống giám sát an ninh của tổ chức để tăng cường khả năng phát hiện và ứng phó với các cuộc tấn công ransomware:
- SSH Fingerprint: 1ca4cbac895fc3bd12417b77fc6ed31d
- SSH Fingerprint: ddd9ca54c1309cde578062cba965571e
- SSH Fingerprint: 55c658703c07d6344e325ea26cf96c3b
