
От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1
Узнать больше24.05.2024
Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили деятельность прогосударственной высокопрофессиональной группы Shedding Zmiy, которая шпионит за российскими организациями минимум с 2022 года. На счету хакеров несколько десятков кибератак на госсектор, промышленность, телеком и другие отрасли. Скомпрометированные данные они использовали в последующих атаках, а также выкладывали их публично.
С 2022 года по настоящее время специалисты Solar 4RAYS расследовали уже семь инцидентов, связанных с Shedding Zmiy. Поначалу казалось, что за атаками стоит группировка Cobalt (exCobalt), так как уже в первом расследованном инциденте фигурировал ее «фирменный» бэкдор CobInt. Однако дальнейшие расследования выявили разницу в мотивах. По сравнению с Cobalt, нацеленной на финансовую выгоду, группа, названная впоследствии Shedding Zmiy, интересовалась не деньгами – она охотилась за данными.
Хотя в каждой новой атаке Shedding Zmiy старалась действовать иначе, чем в предыдущей, эксперты Solar 4RAYS быстро стали замечать следы использования одних и тех же вредоносных техник, инструментов, сетевой инфраструктуры и названий компонентов. По этим признакам семь на первый взгляд разных инцидентов в конце концов были объединены в один кластер под именем Shedding Zmiy. По итогам работ специалисты Solar 4RAYS помогли пострадавшим организациям избавиться от следов присутствия группировки и дали рекомендации по совершенствованию киберзащиты ИТ-периметров.
Проведенные расследования показали, что группировка представляет серьезную угрозу для российской инфраструктуры. Она применяет как публично доступное ВПО, так и уникальное, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб-шеллы). Для загрузки вредоносов на системы жертвы иногда использует скомпрометированные легитимные серверы. Также хакеры эксплуатируют специфичную не закрытую вендором уязвимость в ASP.NET: такие атаки сложно выявлять и реагировать на них.
Всего эксперты Solar 4RAYS обнаружили следы использования 35 различных инструментов для разведки, доставки вредоносного ПО, скрытного горизонтального продвижения внутри сети и похищения данных. Для проникновения в сеть, повышения привилегий и закрепления, атакующие использовали 20 известных уязвимостей в распространенном корпоративном ПО.
При этом Shedding Zmiy умеет запутывать следы. Группировка владеет обширной сетью командных серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах. Это помогает хакерам обходить блокировки атак по территориальному признаку (по GeoIP).
Shedding Zmiy также активно прибегает к высокопрофессиональной социальной инженерии. Так для одной из атак хакеры создали фейковый Telegram-профиль, выдавая себя за специалиста ИБ-службы, и «выпросили» у сотрудника компании пароль от учётной записи. Используя скомпрометированную учётку, злоумышленники успели побывать еще на нескольких хостах, где разместили ВПО.
Помимо этого, группа была замечена в эксплуатации доверительных отношений между организациями (атаки типа Trusted Relationship). В одном из кейсов, заразив сеть телеком-провайдера, хакеры попытались атаковать ещё три организации, разослав из взломанной сети несколько десятков писем с вредоносными вложениями.
«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО. В частности, бэкдор Bulldog и загрузчик XDHijack. Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах, которые они инвестируют в разработку своего арсенала», —пояснил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Антон Каргин.
«Мы назвали группировку Shedding Zmiy, потому что всякий раз, когда мы с ними сталкивались, видели их в новом обличии с измененным набором тактик, техник и процедур. Как змеи регулярно меняют кожу, так и они демонстрируют исключительную вариативность и гибкость в методах своих атак. И именно Zmiy, так как с группировкой связаны несколько проукраинских Telegram-каналов, в которых публиковали данные, украденные у атакованных организаций. В нашем исследовании мы постарались собрать максимум полезной и ранее не публиковавшейся информации о деятельности этой группы, чтобы ИБ-специалисты в российских организациях могли лучше защититься», — сказал инженер группы расследования инцидентов Solar 4RAYS ГК «Солар» Геннадий Сазонов.
Подробности расследования можно прочитать в блоге Solar 4RAYS.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.