«Мертвые души» атакуют: в «Соларе» выявили новую кибератаку Shedding Zmiy на российское медучреждение

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» изучили атаку на одну из российских госорганизаций в области здравоохранения. По итогам расследования выяснилось: хакеры известной проукраинской группировки Shedding Zmiy проникли в инфраструктуру через учетные записи бывших сотрудников на корпоративном VPN‑сервере, которые давно должны были быть удалены. В итоге злоумышленники более шести месяцев могли похищать секретную информацию организации из внутренних баз данных. В ходе расследования специалисты «Cолара» зачистили инфраструктуру от следов присутствия хакеров.

В конце 2025 года медорганизация заподозрила компрометацию инфраструктуры — были выявлены подозрительные подключения с одного из устройств локальной сети к IP-адресам Gsocket (инструмент для соединения между устройствами в обход сетевых ограничений). После анализа ИТ-ландшафта эксперты Solar 4RAYS обнаружили несколько десятков взломанных операционных UNIX-систем, и поняли, что хакеры проникли в организацию через корпоративный VPN-сервер — виртуальную частную сеть, которая обеспечивает персоналу конфиденциальность и целостность информации, передаваемой по открытым каналам связи.

По предположению экспертов, хакеры могли получить доступ к сервису через атаки на сотрудников, которые к моменту расследования уже не работали в компании — именно им принадлежала большая часть подозрительных IP-адресов VPN-пула. При этом учетные записи бывших сотрудников не были вовремя выведены из эксплуатации — этими «мертвыми душами» и воспользовались атакующие, которые подключились к сервису.

После подключения к VPN хакеры скомпрометировали учетную запись сервера PostgreSQL для управления базами данных компании — по данным экспертов, у нее был установлен ненадежный пароль. Для закрепления в системе атакующие разместили утилиту gs-netcat — она позволяет устанавливать прямые соединения между компьютерами (peer-to-peer) или брандмауэрами. Через несколько дней атакующие скомпрометировали множество учеток сотрудников, с помощью которых начали перемещаться и заражать инфраструктуру.

В результате анализа взломанных систем эксперты выявили инструментарий, который использует проукраинская группировка Shedding Zmiy, включая новую версию их бэкдора Bulldog с расширенной функциональностью.

Помимо этого, хакеры добавили новый модуль своего стилера. Он позволяет красть информацию из браузеров и делать скриншоты с устройств пользователей, то есть получать данные не только из баз данных организации, но и напрямую с устройств сотрудников. Интерес также вызывает упоминание macOS в описании одной из команд стилера. Это может означать, что хакеры могут атаковать устройства не только на Windows и UNIX-системах, но и девайсы из экосистемы Apple.

Любопытно, что, по наблюдениям Solar 4RAYS, в 2025 году Shedding Zmiy фактически прекратили или заметно снизили свою активность. Вероятно, проукраинские хакеры уходили в затишье, чтобы обновить инструментарий и вернуться с новыми силами, а значит, они уже сегодня представляют серьезную угрозу для всех ключевых российских организаций.

Денис Чернов

эксперт Solar 4RAYS

«При расследовании кибератак нам часто задают вопрос — почему атакующих не замечали так долго? В данном случае ИБ-специалисты медорганизации замечали различные ИБ‑инциденты и устраняли их последствия. Но их антивирус из-за отсутствия нужных сигнатур не смог распознать образцы уникального ВПО, также они вовремя не удаляли учетные записи бывших сотрудников и не выявили источник компрометации. Как итог: атакующие возвращались снова и снова. Именно поэтому в случае большого количества подозрительных инцидентов ИБ мы настоятельно рекомендуем пользоваться услугами специалистов по реагированию — это поможет вычислить причины проникновения хакеров в инфраструктуру, выявить все скомпрометированные системы и учетные записи, а также принять меры по устранению угроз до наступления непоправимых последствий — от утечки данных до уничтожения критичных ИТ-систем».

Специалисты Solar 4RAYS рекомендуют российским организациям:

• Автоматизировать управление учетными записями сотрудников и своевременно выводить их из эксплуатации (например, с помощью IdM-решения);
• Подключаться к корпоративным VPN-сервисам с помощью двухфакторной аутентификации;
• Записывать все данные о подключениях к корпоративным VPN и сохранять записи в SIEM.

С полным текстом расследования, а также с индикаторами компрометации Shedding Zmiy можно ознакомиться в блоге Solar 4RAYS.