Shedding Zmiy – не просто хакеры: 2 года профессиональной охоты на российские секреты

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Пентестеры, разработчики ВПО, операторы… кто стоит за группировкой?

Специалисты центра исследования киберугроз Solar 4RAYS обнаружили и изучили деятельность высокопрофессиональной хакерской группировки Shedding Zmiy. Эксперты рассказали , что злоумышленники использовали скомпрометированные данные российских компаний не только для последующих атак, но и публиковали их в открытом доступе. При этом основной целью группы, по словам исследователей, была не финансовая выгода, а кража конфиденциальной информации.

В Solar 4RAYS не смогли точно атрибутировать происхождение группы, но отметили несколько характерных этой группировке признаков. Во-первых, похищенные данные публиковались в проукраинских Telegram-каналах. Во-вторых, в части используемого инструментария Shedding Zmiy связана с другими группировками (Cobalt, exCobalt, Shadow, Comet, Twelve, «о происхождении которых в сообществе исследователей киберугроз сложилось определенное мнение»). В-третьих, в логах атак встречались команды на украинском и русском языках. Наконец, целями Shedding Zmiy становились преимущественно российские организации.

По словам экспертов, группировка представляет серьезную угрозу для РФ. Она применяет как общедоступное, так и собственное уникальное вредоносное ПО. Для внедрения вредоносов на системы жертв хакеры порой использовали скомпрометированные легитимные серверы. Shedding Zmiy умеет запутывать следы: группировка владеет «обширной сетью командных серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах; это помогает хакерам обходить блокировки атак по территориальному признаку (по GeoIP)».

На первый взгляд разрозненные инциденты со схожими признаками использования ВПО, уязвимостей, инфраструктуры были объединены экспертами в один кластер. Всего специалисты Solar 4RAYS обнаружили следы применения 35 различных инструментов на этапах разведки, доставки вредоносов, распространения по сети и кражи данных. Для проникновения в сеть, эскалации привилегий и закрепления хакеры задействовали как минимум 20 известных уязвимостей в популярном корпоративном ПО.

  Заказал кебаб – жди хакеров: выявлена масштабная утечка данных в сервисах доставки еды

В России и ищешь VPN? Покупай через Телеграмм-бот:

Кроме технических средств, Shedding Zmiy охотно прибегала к социальной инженерии. Так, в одном случае злоумышленники создали фейковый Telegram-аккаунт, выдав себя за сотрудника ИБ-службы компании-жертвы, чтобы выпросить у реального работника пароль для входа в систему. Используя скомпрометированную учетку, злоумышленники успели побывать еще на нескольких хостах, где разместили ВПО.

С начала 2022 года группа успела атаковать несколько десятков российских компаний из государственного, промышленного, телекоммуникационного и других ключевых секторов. В Solar 4RAYS не раскрыли имен конкретных жертв.

По оценке экспертов, в состав Shedding Zmiy входят отдельные команды разных специализаций: пентестеры, разработчики ВПО, операторы и администраторы. Минимально для подготовки таких атак требуется 5-6 высококвалифицированных сотрудников разного профиля и серьезный бюджет, включая средства на покупку коммерческого вредоносного ПО вроде SystemBC, EkipaRAT и DarkGate.

На подпольных форумах предложения о продаже DarkGate достигают примерно $100 000 за годовую лицензию. Сама разработка арсенала стоит на порядок больше, чем стоимость экземпляра ПО — то есть уже не $100 000, а $1 млн., отмечают эксперты. В свою очередь, стоимость атаки уже на порядок выше стоимости разработки — туда входит как несколько утилит, так и немалый ресурс самих атакующих.

Сами хакеры демонстрируют высочайший уровень разработки. В частности, ими был создан целый фреймворк для автоматизированной эксплуатации одной из уязвимостей. Это говорит об инвестициях значительных временных и финансовых ресурсов в развитие вредоносного арсенала группы.

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

  Одно расширение – миллион украденных долларов: история о халатности Binance

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий