Одна из самых активных проукраинских хакерских группировок Shedding Zmiy начала использовать в своих атаках на Россию новое вредоносное ПО под названием Puma. Инструмент позволяет злоумышленникам незаметно перехватывать контроль над скомпрометированными системами, шпионить за ними и при необходимости – уничтожать.
При этом сложные механизмы маскировки делают обнаружение Puma крайне затруднительным. Об этом "Газете.Ru" рассказал эксперт центра исследования киберугроз Solar 4RAYS Константин Исаков."Цель Puma – перехват управления атакованной системой. Благодаря сложным механизмам заражения системы, присутствие Pumа практически невозможно обнаружить. Первую атаку Shedding Zmiy с использованием этого инструмента мы обнаружили в конце 2024 года, оказывая помощь в расследовании инцидента. Жертвой злоумышленников стала российская ИТ-компания, в сети которой злоумышленники находились почти 1,5 года", – сказал Исаков.
Поводом для начала расследования этого инцидента, как объяснил эксперт, послужили подозрительные запросы компьютеров компании к внешним серверам. Использование общедоступных индикаторов компрометации позволило установить, что эти серверы связаны с управлением Puma и принадлежат Shedding Zmiy.
В ходе исследования сети пострадавшей компании было обнаружено десять различных версий Puma, а также другие образцы вредоносных программ, ассоциируемых с Shedding Zmiy, в том числе характерные для группы gsocket и Bulldog Backdoor. Обнаруженный набор инструментов обеспечивал киберпреступников полным контролем над инфраструктурой жертвы.
"Shedding Zmiy действуют по-разному в зависимости от данных о жертве, полученных в ходе первичной разведки. В исследованном инциденте атакующие пребывали в инфраструктуре более полутора лет и занимались кибершпионажем. Однако в случаях, когда атакованная цель не представляет интереса для группировки, они могут изменить вектор атаки в сторону шифрования или даже уничтожения инфраструктуры жертвы", – сказал Исаков.
По его словам, именно функциональность Puma, а именно возможность незаметно загружать через себя другие вердоносы в атакованные системы, делает Shedding Zmiy настолько разнообразной в плане наносимого ущерба группировкой.
Хакеры Shedding Zmiy впервые попали в поле зрения аналитиков Solar 4RAYS в начале прошлого года. По итогам 2024 года, с деятельностью этого коллектива связывают 34% инцидентов, расследованных центром. Основным профилем Shedding Zmiy является кибершпионаж и атаки, направленные на нанесение ущерба российской инфраструктуре. Группировка постоянно меняет свои методы и инструменты, обновляя свой арсенал. Исаков назвал Shedding Zmiy "серьезной угрозой для российских компаний".
Свежие комментарии