Цивилизация
Одна из самых активных проукраинских хакерских группировок Shedding Zmiy начала использовать в своих атаках на Россию новое вредоносное ПО под названием Puma. Инструмент позволяет злоумышленникам незаметно перехватывать контроль над скомпрометированными системами, шпионить за ними и при необходимости — уничтожать. При этом сложные механизмы маскировки делают обнаружение Puma крайне затруднительным. Об этом «Газете.Ru» рассказал эксперт центра исследования киберугроз Solar 4RAYS Константин Исаков.
«Цель Puma — перехват управления атакованной системой. Благодаря сложным механизмам заражения системы, присутствие Pumа практически невозможно обнаружить. Первую атаку Shedding Zmiy с использованием этого инструмента мы обнаружили в конце 2024 года, оказывая помощь в расследовании инцидента. Жертвой злоумышленников стала российская ИТ-компания, в сети которой злоумышленники находились почти 1,5 года», — сказал Исаков.
Поводом для начала расследования этого инцидента, как объяснил эксперт, послужили подозрительные запросы компьютеров компании к внешним серверам. Использование общедоступных индикаторов компрометации позволило установить, что эти серверы связаны с управлением Puma и принадлежат Shedding Zmiy.
В ходе исследования сети пострадавшей компании было обнаружено десять различных версий Puma, а также другие образцы вредоносных программ, ассоциируемых с Shedding Zmiy, в том числе характерные для группы gsocket и Bulldog Backdoor. Обнаруженный набор инструментов обеспечивал киберпреступников полным контролем над инфраструктурой жертвы.
«Shedding Zmiy действуют по-разному в зависимости от данных о жертве, полученных в ходе первичной разведки. В исследованном инциденте атакующие пребывали в инфраструктуре более полутора лет и занимались кибершпионажем. Однако в случаях, когда атакованная цель не представляет интереса для группировки, они могут изменить вектор атаки в сторону шифрования или даже уничтожения инфраструктуры жертвы», — сказал Исаков.
По его словам, именно функциональность Puma, а именно возможность незаметно загружать через себя другие вредоносы в атакованные системы, делает Shedding Zmiy настолько разнообразной в плане наносимого ущерба группировкой.
Хакеры Shedding Zmiy впервые попали в поле зрения аналитиков Solar 4RAYS в начале прошлого года. По итогам 2024 года, с деятельностью этого коллектива связывают 34% инцидентов, расследованных центром. Основным профилем Shedding Zmiy является кибершпионаж и атаки, направленные на нанесение ущерба российской инфраструктуре. Группировка постоянно меняет свои методы и инструменты, обновляя свой арсенал. Исаков назвал Shedding Zmiy «серьезной угрозой для российских компаний».
Ранее в МВД предупредили россиян о взломе Wi-Fi-роутеров Keenetic.