Новости Шпионы Shedding Zmiy проникли в десятки российских организаций

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году.


На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности. Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram.

OQwUh2SDEizwIruxVSshQBH1386wREkIfFkljfvaEGEyuPvEcoFZHs-ctxIi2QFXOUnXzmNO5pU5B2GUvOgDVO2cAJc2Q9DtsDQus1XqYcdGp97I55DdXWkavsJnhkz67WAnjDiKistY3TbA5QvQzWNNCND1Tz0Bp8s1kX67EsOxgJ7O6lTYKfg_u7BX7CWEz7tcSqFDX0r5TXtILA_JvOYm6An7DceOHRo3QHLKHUaoFsIaM8K2jO7P9Rf8vxBL9MwfTqyVX250czP902emTY71Ws_hTF9PuYB7gS2NzPhvr-AP-wuGypHRfAa1zldA6VgK2LZMMAyqzH4Ucb9bR_QB0EWlkNCouDdz9R4iZgqGNxrNp4oTwnkI-YYjz0E7rO3vyXZIwg2QWPTN_gZXR6qQCBg9RfGFIYs5n3h8Ucw1RR_Kax3cqHf9P_ycZunNSDUfD2_GU4P4i7jM5wRMM64hL0m5QcrNEZ3yD3ZLmEoplogZOgmxBedBstE2fxRLO4xYwCASkig2-7D4XOpkjUZyG0gojN8C_0xyRGVMDb4rqGbBuUSIDR9XPgf3RpPJYNXH23jK8ErkjzjX_v9ZC3ONGUWrGl2h9bH8eZCpagrJehWBoERahzfONwOvSAH2ZWetjP6AwgNW3n4HvUUWTmDfxp73S7fMaUwy1r41WkpyQ1aIo1UfYHXwu7McKa0PDjMTDylEHwwwCDpMq8XINi4kJI_xx0DDkZ17DXeHlQFvWUrVOsI4gGaJ_xy2MtjPNQHZxe7eESz2fXm50y_mDEI0VIjlDtcB8Uf_Ty7CAH6mJafGf8dGjtdVes23RB3O4tALnriLOwCpBXEa9nQcTPoLX0Nr3R9v-LP9eFzkKobG9BuLYASQQ3aP8gdtTQT85C_gRjmHCsBeXbaA_ksWSmkRApizDTIMq4t_Ebu2Es94hFaF4VHTLjb_NLDTpipLAj_eBqvFEIY0gvmBrY


Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику. Кибершпионы также подняли множество C2-серверов на территории России, воспользовавшись услугами облачных и хостинг-провайдеров, что помогает им обходить блокировки по GeoIP.

В атаках применяются и выложенные в паблик зловреды, и спецразработки под конкретные цели (загрузчики, бэкдоры, веб-шеллы). Для хранения вредоносного кода иногда используются взломанные серверы. В арсенале Shedding Zmiy исследователи суммарно насчитали 35 инструментов разного назначения и 20 используемых уязвимостей — в основном хорошо известных, таких как Log4Shell, ProxyShell и PrintNightmare .

Один эксплойт оказался редким и замысловатым. Соответствующую уязвимость в ASP.NET (десериализация ненадежных данных в параметре VIEWSTATE) разработчики Microsoft пытались устранить еще десять лет назад, но затем оставили эту затею — в «Солар» полагают, из-за сложности использования лазейки.

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО, в частности, бэкдор Bulldog и загрузчик XDHijack, — отметил эксперт из команды Solar 4RAYS Антон Каргин. — Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах».

Участники Shedding Zmiy также активно используют элементы социальной инженерии. Так, в ходе одной из атак они создали в Telegram поддельный аккаунт ИБ-специалиста целевой компании и от его имени выманили у сотрудника учетные данные для доступа к внутренних хостам.

В другом случае злоумышленники сыграли на доверии между компаниями-партнерами (атака типа Trusted Relationship): взломав сеть телеком-провайдера, разослали от его имени десятки вредоносных писем в другие организации.

image1shedding_zmiy.png



 
Сверху Снизу