ShadowSyndicate Hackers Added RansomHub Ransomware to their Arsenal
ShadowSyndicate Hackers Added RansomHub Ransomware to their Arsenal
ShadowSyndicate is a prolific threat actor that has been active since July 2022, collaborated with various ransomware groups, and leverages a diverse toolkit, including Cobalt Strike, Sliver, IcedID, and Matanbuchus malware.
gbhackers.com
- 배경
- ShadowSyndicate는 2022년 7월부터 활동한 위협 그룹으로, 다양한 랜섬웨어 그룹과 협력하며 Cobalt Strike, Sliver, IcedID, Matanbuchus와 같은 도구를 활용
- 최근 RansomHub 랜섬웨어를 무기에 추가하여 공격을 강화
- 그룹의 특징 중 하나는 특정 SSH 지문(1ca4cbac895fc3bd12417b77fc6ed31d)을 지속적으로 사용하며 최소 52개의 서버가 Cobalt Strike C2와 연결
- RansomHub와의 연계
- ALPHV/BlackCat 및 LockBit 활동 중단 이후 RansomHub는 랜섬웨어-서비스(RaaS) 모델로 부상
- RansomHub는 이전 랜섬웨어 그룹의 협력자를 적극 모집하여 2024년에 약 500명의 피해자를 기록
- ShadowSyndicate는 2024년 9월~10월 RansomHub를 활용한 다수의 공격에 관여
- 공격 개요
- 공격은 내부 네트워크 정찰, 취약점 스캔, 파일 암호화 및 데이터 유출의 다단계 패턴으로 진행
- 네트워크 탐지: SSH(포트 22), SMB(포트 445), RDP(포트 3389)를 통해 장치 연결 시도
- 초기 접근: Splashtop을 이용해 네트워크 침입 후, ShadowSyndicate의 C2 서버(46.161.27[.]151)로 SSH 연결
- 데이터 유출: WinSCP 및 MEGA 클라우드 스토리지를 통한 HTTP/SSL 기반 전송
- 횡적 이동: 새로운 관리자 계정 생성 및 SMB를 통해 악성 파일 배포
- 악성 파일은 "[a-zA-Z]{6}.exe" 와 같은 랜덤한 이름과 "Defeat-Defender2.bat" 스크립트를 포함
- 공격은 내부 네트워크 정찰, 취약점 스캔, 파일 암호화 및 데이터 유출의 다단계 패턴으로 진행
- 랜섬웨어 작동 방식
- 파일 암호화 후 6자 알파벳+숫자 확장자 추가
- RansomHub의 데이터 유출 사이트(Data Leak Site, DLS)에 데이터를 게시하며 몸값 요구
- 데이터 유출 및 암호화 프로세스에서 SSH를 활용한 동시 실행
- 결론
- RansomHub와 같은 RaaS 모델은 위협 환경을 악화시키며, ShadowSyndicate는 공격 규모와 정교함을 확대
- 기업은 다단계 방어와 자동화된 대응 시스템(Autonomous Response)을 도입해 랜섬웨어의 영향을 최소화해야 함
- 방어 전략
- 네트워크 정찰 탐지 및 차단
- 포트 22, 445, 3389 모니터링 강화
- 정기적인 관리자 계정 점검
- 랜섬웨어 파일 패턴 탐지와 SMB 기반 악성 파일 배포 방지
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Black Basta 스타일 사이버 공격: 90분 만에 1,165개의 악성 이메일 전송 (1) | 2025.01.25 |
|---|---|
| Lazarus Group의 Operation 99: Web3 및 암호화폐 개발자를 겨냥한 사이버 공격 (1) | 2025.01.25 |
| 정부24 개인정보 노출 사고 (0) | 2025.01.25 |
| 호텔 직원 개인정보 유출 사건 (0) | 2025.01.25 |
| 북한 IT 노동자 사기와 2016년 크라우드펀딩 사기 연관성 (0) | 2025.01.24 |