ShadowSyndicate 랜섬웨어 연합 - 보안기사 읽기 3주차 2일

 

랜섬웨어 그룹들이 (퀀텀, 노코야와, 블랙캣, 클롭, 로얄, 캌투스, 플레이 등) 이 연합해 만든

ShadowSyndicate 그룹에 대한 내용입니다.

 

특히 clop 랜섬웨어 갱단과 이 그룹의 ip 주소가 많이 중복됩니다.

 

Group-IB 에서 shodan을 적극 이용해 OSINT 한 결과 

동일한 SSH fingerprinting에는 80개의 접속 ip address가 있었고

많이 생소한 나라들의 프록시를 사용한 듯 보입니다.

 

공격 기법에 대해서는 cobalt strike C2 를 대부분 사용하고 

대안으로 sliver pentest tool도 사용합니다.

IcedID malware 로더, Matanbuchus MaaS 로더, Metasploit payload 까지 사용합니다.

 

 

진짜 잘하는 해킹그룹이라면 이런 C2의 워터마크, 핑거프린팅을 남기지 않고 티나지 않기 때문에

아마 수사망에도 안보였을 겁니다.

 

그래서 능력있는 연구자들이 필요한 이유입니다.

이러한 찾지 못하거나 모호한 증거로 남아져있는 IOC를 파악하고 분석하는 능력으로 수사망을 좁힐 수 있습니다.