ShadowSyndicateとは？

概要

今回の記事では、ShadowSyndicateと呼ばれるサイバー攻撃集団と、彼らが使用するRansomHubというランサムウェアについて解説しています。
ShadowSyndicateは、2022年7月から活動している高度な技術を持つ集団で、Cobalt StrikeやSliver、IcedID、Matanbuchusなどのマルウェアを用いて攻撃を仕掛けてきました。
彼らは特定のSSHフィンガープリントを一貫して使用しており、Cobalt StrikeのC2フレームワークに関連付けられています。

RansomHubは、**Ransomware-as-a-Service (RaaS)**を提供するプラットフォームであり、ALPHV/BlackCatやLockBitといったランサムウェア集団がFBIの摘発を受けた後、台頭しました。RansomHubは、これらの集団の元メンバーを積極的に採用し、2024年には約500人の被害者を報告しています。

ShadowSyndicateは、RansomHubを彼らの攻撃のレパートリーに追加し、2024年9月から10月にかけて複数の攻撃でRansomHubを使用していることが確認されました。
彼らは、RansomHubが提供する高い身代金分配率 (最大90%) に惹かれたと考えられています。
Darktraceの調査によると、ShadowSyndicateは、内部偵察から始まり、ファイルの暗号化とデータの窃取に至るまでの多段階攻撃を展開しています。

深掘り

ShadowSyndicateとは？

ShadowSyndicateは、別名Infra Stormとも呼ばれ、2022年7月以降活発に活動しているサイバー攻撃集団です。彼らは、Quantum、Nokoyawa、ALPHVなどのさまざまなランサムウェアグループやアフィリエイトと協力して活動しています。

この集団の特徴は、Cobalt Strike、Sliver、IcedID、Matanbuchusなどのマルウェアを含む多様なツールキットを活用していることです。彼らの活動の顕著な特徴は、多数のサーバーで特定のSSHフィンガープリント (1ca4cbac895fc3bd12417b77fc6ed31d) を一貫して使用していることであり、少なくとも52のサーバーがCobalt StrikeのC2フレームワークにリンクされています。

ShadowSyndicateは、高度な技術と多様な攻撃手法を持つ、サイバーセキュリティ業界にとって重大な脅威です。

RansomHubとは？

RansomHubは、Ransomware-as-a-Service (RaaS)を提供するオペレーターであり、FBIによるALPHV/BlackCatの摘発 (2023年12月) とLockBitの活動の disruption (2024年2月) を受けた後、急速に悪名を馳せました。彼らは、以前LockBitの暗号化ツールに依存していた潜在的なアフィリエイトに自らを売り込むことで、これらのグループが残した空白を埋めました。

RansomHubの成功は、アンダーグラウンドフォーラムでの積極的な勧誘によるところが大きく、元ALPHVおよび元LockBitのアフィリエイトを吸収することにつながりました。その結果、2024年には最も活発なランサムウェアオペレーターの1つとなり、専用のリークサイト (DLS) によると、2月以降約500人の被害者が報告されています。

RaaSモデルを採用することで、RansomHubは、技術的な専門知識が限られた攻撃者でもランサムウェア攻撃を実行することを可能にし、サイバー犯罪の脅威を拡大させています。

ShadowSyndicateの攻撃手法について

Darktraceの調査によると、ShadowSyndicateは、RansomHubを用いた攻撃において、以下のような多段階攻撃を展開しています。 それぞれの攻撃をまとめつつ、MITRE ATT&CKフレームワークによるTTP分析もしてみました。

大まかに見たところ、こういう感じかなと思います。

• T1021.004（Remote Services: SSH） リモートアクセスにSSHを使用する基本的な手法
• T1588.004（Obtain Capabilities: Digital Certificates） SSH鍵の管理と展開に関する手法
• T1071.004（Application Layer Protocol: SSH） C2通信にSSHを使用する手法
• T1573（Encrypted Channel） 暗号化された通信チャネルの使用
• T1041（Exfiltration Over C2 Channel） C2チャネルを通じたデータの持ち出し

解釈によって違ってくるので、個別に詳細を見ていきましょう。

ShadowSyndicateの活動が活発化していますので、こういう攻撃の流れがきたら、ShadowSyndicateを疑ってみてください。 １〜４の流れのようです。

1. 内部偵察:
   • 攻撃者は、ポート22 (SSH)、445 (SMB)、3389 (RDP) などの重要なポートを介して他のデバイスへの接続を試みることで、被害者のネットワークを積極的にスキャンします。
   • この初期段階の目的は、ネットワークインフラストラクチャをマッピングし、潜在的なエントリポイントを特定し、後続の攻撃段階 (最終的にはファイルの暗号化とデータの窃取) に必要な重要な情報を収集することです。

MITRE ATT&CKフレームワークにあてはめると？
・技術名: ネットワークサービスのスキャン (Network Service Scanning)
　技術ID: T1046
・技術名: ネットワーク共有の発見 (Network Share Discovery)
　技術ID: T1135

---

2. C2通信とデータの窃取:
   • 調査されたRansomHubの事例のほとんどで、アウトバウンドSSH接続が特定される直前に、リモートデスクトップアクセスソフトウェアであるSplashtopに関連するエンドポイントへの異常な接続が観察されました。
   • その後、Darktraceは、データ窃取のために使用されるWindows用のオープンソースSSHクライアントであるWinSCPを使用して、外部IPアドレス46.161.27[.]151へのアウトバウンドSSH接続を検出しました。このIPアドレスは、CISAによって悪意のあるものとして識別され、ShadowSyndicateのC2インフラストラクチャに関連付けられています。
   • データの窃取方法は、ケースによって異なりました。ShadowSyndicateのインフラストラクチャへの転送に加えて、クラウドストレージおよびファイル転送サービスであるMEGAへのデータ転送も観察されました。

MITRE ATT&CKフレームワークにあてはめると？
まず、ShadowSyndicateは以下のようなことを行いました。
・Splashtopによるリモートデスクトップアクセス。
・WinSCPを使用した悪意のあるIPアドレスへのデータ転送。
・クラウドストレージ（例: MEGA）を利用したデータ窃取。
ここから、 ・技術名: アウトバウンドシステムの発見 (System Network Connections Discovery)
　技術ID: T1049
・技術名: データの窃取 (Exfiltration Over Alternative Protocol)
　技術ID: T1048.003
・技術名: コマンド&コントロール通信 (Application Layer Protocol)
　技術ID: T1071.001

---

3. ラテラルムーブメント:
   • 調査されたインシデントでは、C2通信が確立された直後にラテラルムーブメント活動が開始されました。
   • あるケースでは、Darktraceは、新しい管理者資格情報の異常な使用を特定しました。これは、ネットワーク上の他の内部デバイスへの複数の疑わしい実行可能ファイルの書き込みによってすぐに追跡されました。
   • この実行可能ファイルのファイル名は、regex命名規則 "[a-zA-Z]{6}.exe" に従っており、観察された2つの例は "bWqQUx.exe" と "sdtMfs.exe" です。
   • さらに、「Defeat-Defender2.bat」、「Share.bat」、「def.bat」などのスクリプトファイルもSMB経由で書き込まれているのが確認されました。これは、攻撃者がMicrosoft Defenderなどのアンチウイルスソフトウェアによるネットワーク防御と検出を回避しようとしていたことを示唆しています。

MITRE ATT&CKフレームワークにあてはめると？
・新しい管理者資格情報を使用。
・SMBを利用した実行可能ファイルやスクリプトの書き込み。
・Microsoft Defenderなどの防御回避。
これから考えると、 ・技術名: 有効なアカウントの使用 (Valid Accounts)
　技術ID: T1078
・技術名: リモートサービス (Remote Services)
　技術ID: T1021
・技術名: ファイルとディレクトリの変更 (Modify Registry)
　技術ID: T1112
・技術名: 防御回避のためのスクリプト (Script Execution)
　技術ID: T1059

---

4. ファイルの暗号化:
   • ファイルの暗号化アクティビティが観察された3つのケースでは、regex形式「.[a-zA-Z0-9]{6}」に従って拡張子を追加することにより、ファイル名が変更されました。
   • 同様の命名規則「README_[a-zA-Z0-9]{6}.txt」の身代金メモが各共有に書き込まれました。身代金メモの内容はケースごとにわずかに異なりましたが、ほとんどが同様のテキストを含んでいました。
   • 身代金メモの本文にある明確な指標は、これらの攻撃でRansomHubランサムウェアが使用されていることを示していました。ほとんどのランサムウェアと同様に、RansomHubには、「カスタマーサービスチーム」とターゲット間の通信用のTORサイトリンクが含まれていました。

MITRE ATT&CKフレームワークにあてはめると？
・ファイル名を変更し暗号化。
・身代金メモの作成（例: README_[a-zA-Z0-9]{6}.txt）。
・TORサイトリンクを含むメモを提供。
というところから考えると、
・技術名: データの暗号化 (Data Encrypted for Impact)
　技術ID: T1486
・技術名: 身代金要求メッセージ (Impact: Ransom Note)
　技術ID: T1486 (サブ技術に準じた活動として解釈)

---

ShadowSyndicateは、RansomHubを活用することで、より効率的かつ効果的に攻撃を実行できるようになり、企業にとって深刻な脅威となってしまっています。 しかし、一番気になるのは、一貫して同じSSHのフィンガープリントを使っているという点です。

SSHフィンガープリントとは、SSHサーバーを一意に識別するための「デジタル指紋」のようなものです。
人間の指紋が一人一人異なるように、SSHフィンガープリントは各サーバーに固有の識別子として機能します。
サーバーがSSHを実行すると、暗号化のための鍵ペア（公開鍵と秘密鍵）が生成されます。
このフィンガープリントは、その公開鍵のハッシュ値（短い固定長の文字列）として作られます。通常、異なるサーバーには異なるSSHフィンガープリントが割り当てられます。
この記事で注目すべき点は、ShadowSyndicateが52台以上のCobalt Strike C2（コマンド＆コントロール）サーバーで、同じSSHフィンガープリント（1ca4cbac895fc3bd12417b77fc6ed31d）を使用していることです。これは非常に特異な行動パターンです。

なぜこれが重要なのでしょうか？

1. 攻撃者の追跡
   同じフィンガープリントが使用されているサーバーを見つけることで、ShadowSyndicateのインフラを特定できます。
   これは、複数の犯罪現場で同じ指紋が見つかるようなものです。
2. 攻撃グループの特徴
   このような一貫したフィンガープリントの使用は、ShadowSyndicateの運用方法を示す特徴的な痕跡となります。

なぜわざわざこのようなことをしているのでしょうか？ ブランディングのため？それもあるでしょう。 タイパ重視でしょうか？それもあるでしょう。

これが実は、大きな攻撃の「過程」でないことを祈ります。