Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили деятельность прогосударственной высокопрофессиональной группы Shedding Zmiy, которая шпионит за российскими организациями минимум с 2022 года. На счету хакеров несколько десятков кибератак на госсектор, промышленность, телеком и другие отрасли. Скомпрометированные данные они использовали в последующих атаках, а также выкладывали их публично.

С 2022 года по настоящее время специалисты Solar 4RAYS расследовали уже семь инцидентов, связанных с Shedding Zmiy. Поначалу казалось, что за атаками стоит группировка Cobalt (exCobalt), так как уже в первом расследованном инциденте фигурировал ее «фирменный» бэкдор CobInt. Однако дальнейшие расследования выявили разницу в мотивах. По сравнению с Cobalt, нацеленной на финансовую выгоду, группа, названная впоследствии Shedding Zmiy, интересовалась не деньгами – она охотилась за данными.

Хотя в каждой новой атаке Shedding Zmiy старалась действовать иначе, чем в предыдущей, эксперты Solar 4RAYS быстро стали замечать следы использования одних и тех же вредоносных техник, инструментов, сетевой инфраструктуры и названий компонентов. По этим признакам семь на первый взгляд разных инцидентов в конце концов были объединены в один кластер под именем Shedding Zmiy. По итогам работ специалисты Solar 4RAYS помогли пострадавшим организациям избавиться от следов присутствия группировки и дали рекомендации по совершенствованию киберзащиты ИТ-периметров.

Проведенные расследования показали, что группировка представляет серьезную угрозу для российской инфраструктуры. Она применяет как публично доступное ВПО, так и уникальное, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб-шеллы). Для загрузки вредоносов на системы жертвы иногда использует скомпрометированные легитимные серверы. Также хакеры эксплуатируют специфичную не закрытую вендором уязвимость в ASP.NET: такие атаки сложно выявлять и реагировать на них.

Всего эксперты Solar 4RAYS обнаружили следы использования 35 различных инструментов для разведки, доставки вредоносного ПО, скрытного горизонтального продвижения внутри сети и похищения данных. Для проникновения в сеть, повышения привилегий и закрепления, атакующие использовали 20 известных уязвимостей в распространенном корпоративном ПО.

При этом Shedding Zmiy умеет запутывать следы. Группировка владеет обширной сетью командных серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах. Это помогает хакерам обходить блокировки атак по территориальному признаку (по GeoIP).

Shedding Zmiy также активно прибегает к высокопрофессиональной социальной инженерии. Так для одной из атак хакеры создали фейковый Telegram-профиль, выдавая себя за специалиста ИБ-службы, и «выпросили» у сотрудника компании пароль от учётной записи. Используя скомпрометированную учётку, злоумышленники успели побывать еще на нескольких хостах, где разместили ВПО.

Помимо этого, группа была замечена в эксплуатации доверительных отношений между организациями (атаки типа Trusted Relationship). В одном из кейсов, заразив сеть телеком-провайдера, хакеры попытались атаковать ещё три организации, разослав из взломанной сети несколько десятков писем с вредоносными вложениями.

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО. В частности, бэкдор Bulldog и загрузчик XDHijack. Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах, которые они инвестируют в разработку своего арсенала», —пояснил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Антон Каргин.

«Мы назвали группировку Shedding Zmiy, потому что всякий раз, когда мы с ними сталкивались, видели их в новом обличии с измененным набором тактик, техник и процедур. Как змеи регулярно меняют кожу, так и они демонстрируют исключительную вариативность и гибкость в методах своих атак. И именно Zmiy, так как с группировкой связаны несколько проукраинских Telegram-каналов, в которых публиковали данные, украденные у атакованных организаций. В нашем исследовании мы постарались собрать максимум полезной и ранее не публиковавшейся информации о деятельности этой группы, чтобы ИБ-специалисты в российских организациях могли лучше защититься», — сказал инженер группы расследования инцидентов Solar 4RAYS ГК «Солар» Геннадий Сазонов.

Подробности расследования можно прочитать в блоге Solar 4RAYS.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Новая версия Solar appScreener снижает затраты на DevSecOps на 15%

Новая версия Solar appScreener снижает затраты на DevSecOps на 15%

Узнать больше
«Солар» разработал комплексный продукт для защиты онлайн-ресурсов крупного бизнеса

«Солар» разработал комплексный продукт для защиты онлайн-ресурсов крупного бизнеса

Узнать больше
Совместимость решений ГК «Солар» и «РуПост» позволит минимизировать утечки с мобильных устройств

Совместимость решений ГК «Солар» и «РуПост» позволит минимизировать утечки с мобильных устройств

Узнать больше
Новая версия Solar CyberMir 7.0: командно-штабные тренировки, квизы, квесты и task-based для Blue Team в онлайн-формате

Новая версия Solar CyberMir 7.0: командно-штабные тренировки, квизы, квесты и task-based для Blue Team в онлайн-формате

Узнать больше
«Солар»: хакеры отключают антивирус, чтобы скрыть кибератаку

«Солар»: хакеры отключают антивирус, чтобы скрыть кибератаку

Узнать больше
Компании получат налоговые льготы за внедрение Solar Dozor и других решений «Солара»

Компании получат налоговые льготы за внедрение Solar Dozor и других решений «Солара»

Узнать больше
Интеграция ALD Pro и Solar Dozor обеспечивает безопасную миграцию с Windows на Linux

Интеграция ALD Pro и Solar Dozor обеспечивает безопасную миграцию с Windows на Linux

Узнать больше
«Солар» планирует развивать собственную SIEM платформу

«Солар» планирует развивать собственную SIEM платформу

Узнать больше
Девять ИБ решений «Солара» включены в «Банк технологий» Москвы

Девять ИБ решений «Солара» включены в «Банк технологий» Москвы

Узнать больше
ГК «Солар» и СКАН-Интерфакс: интерес к теме кибербезопасности в РФ за десять лет вырос почти в 18 раз

ГК «Солар» и СКАН-Интерфакс: интерес к теме кибербезопасности в РФ за десять лет вырос почти в 18 раз

Узнать больше