Группировка Shedding Zmiy взяла на вооружение новый опасный вредонос для атак на российские организации

Самая активная проукраинская кибергруппировка последних лет Shedding Zmiy стала использовать опасный вредонос Puma. Его цель — перехват управления атакованной системой. Благодаря сложным механизмам заражения системы, присутствие Pumа практически невозможно обнаружить. Первую атаку группировки с использованием этого инструмента эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили в конце 2024 года, оказывая помощь в расследовании инцидента. Жертвой злоумышленников стала российская ИТ-компания, в сети которой злоумышленники находились почти 1,5 года.

Проукраинская группа атакующих Shedding Zmiy впервые была описана командой Solar 4RAYS в начале 2024 года. По итогам года с их действиями было связано 34% расследований, проведенных Solar 4RAYS. Shedding Zmiy специализируется на шпионаже и атаках, направленных на уничтожение российской инфраструктуры. Оправдывая свое название (shedding — сбрасывающий кожу), группировка постоянно меняет техники и тактики, обновляя и совершенствуя свой арсенал.

Расследование данного инцидента началось с того, что служба безопасности атакованной компании увидела подозрительные обращения к сторонним серверам из корпоративной сети. Использовав общедоступные индикаторы компрометации, в компании выяснили, что это серверы управления вредоносным ПО, относящиеся к инфраструктуре Shedding Zmiy. Тогда к расследованию решили привлечь команду Solar 4RAYS.

В сети жертвы было обнаружено 10 руткитов Puma различных версий, а также множество образцов другого ВПО, связанного с Shedding Zmiy, включая характерный для группировки набор инструментов: gsocket и Bulldog Backdoor. Обнаруженный арсенал предоставлял атакующим полный контроль над инфраструктурой жертвы.

Наибольшую опасность из этого арсенала представляет руткит Puma в паре со своим «младшим братом» Pumatsune. Первый позволяет скрывать присутствие ВПО в системе, второй дает атакующим удаленный контроль над зараженной системой. Ранее вредонос Puma не встречался экспертам Solar 4RAYS в атаках.

Puma — это ядерный руткит для Linux, написанный на языке C. Он загружается в ядро системы и там перехватывает некоторые функции и системные вызовы, а после запускает руткит Pumatsune. Puma скрывает себя из списка загруженных в ядро модулей, скрывает руткит Pumatsune и его действия, а также может скрывать активность других заданных процессов по запросу. Также руткит умеет красть пароли, различные криптографические ключи и другую конфиденциальную информацию.

Константин Исаков

Эксперт центра исследования киберугроз Solar 4RAYS

«Shedding Zmiy действуют по-разному в зависимости от данных о жертве, полученных в ходе первичной разведки. В исследованном инциденте атакующие пребывали в инфраструктуре более полутора лет и занимались кибершпионажем. Однако в случаях, когда атакованная цель не представляет интереса для группировки, они могут изменить вектор атаки в сторону шифрования или даже уничтожения инфраструктуры жертвы. Широкая функциональность найденных руткитов позволяет осуществлять это путем скрытной установки дополнительных полезных нагрузок. Таким образом, Shedding Zmiy остается серьезной угрозой для российских компаний, и службам безопасности организаций следует внимательно следить за индикаторами компрометации и изменениями в тактиках и техниках этой группировки, чтобы вовремя обнаружить злоумышленников в своей сети и не допустить фатальных последствий».

Детальный разбор функциональности руткита Puma, а также советы по обнаружению этой угрозы и борьбе с ней опубликованы в блоге Solar 4RAYS.

Центр исследования киберугроз Solar 4RAYS в реальном времени анализирует данные об угрозах, получаемых со всех сервисов и продуктов «Солара», крупнейшей в России сети сенсоров и ханипотов, а также внешних источников. Полученные знания позволяют постоянно актуализировать защитные меры в собственных ИБ-решениях компании. Эксперты центра провели 200+ расследований киберинцидентов в частных и государственных организациях. Техническими подробностями и индикаторами компрометации (IoC) специалисты регулярно делятся с ИБ-сообществом в своем блоге.