Найти в Дзене
«MaskSafe» - территория Кибербезопасности
746 подписчиков

Хакерская группировка Shedding Zmiy

153
4 мин
Эта группа провела несколько десятков кибератак на государственные структуры, промышленные предприятия, телекоммуникационные компании и другие отрасли. Утечки данных, полученные в результате атак, использовались для последующих нападений, а также публично раскрывались. Расследования выявили, что группировка представляет серьезную угрозу для российской инфраструктуры. Применяя как публично доступное вредоносное программное обеспечение, так и уникальное, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб-шеллы). Для загрузки вредоносов на системы жертвы иногда использует скомпрометированные легитимные серверы. Каждая новая атака Shedding Zmiy отличалась от предыдущих, однако эксперты по кибербезопасности обнаружили схожие вредоносные методы, инструменты, сетевую инфраструктуру и названия компонентов. На основе этих сходств семь инцидентов были объединены в одну группу под названием Shedding Zmiy. В результате специалисты помогли пострадавшим компаниям устрани
Оглавление

Специалисты из центра исследования киберугроз обнаружили деятельность высококвалифицированной кибергруппы Shedding Zmiy, которая осуществляет шпионаж за российскими организациями, начиная с 2022 года.

Эта группа провела несколько десятков кибератак на государственные структуры, промышленные предприятия, телекоммуникационные компании и другие отрасли. Утечки данных, полученные в результате атак, использовались для последующих нападений, а также публично раскрывались.

Расследования выявили, что группировка представляет серьезную угрозу для российской инфраструктуры. Применяя как публично доступное вредоносное программное обеспечение, так и уникальное, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб-шеллы). Для загрузки вредоносов на системы жертвы иногда использует скомпрометированные легитимные серверы.

Каждая новая атака Shedding Zmiy отличалась от предыдущих, однако эксперты по кибербезопасности обнаружили схожие вредоносные методы, инструменты, сетевую инфраструктуру и названия компонентов. На основе этих сходств семь инцидентов были объединены в одну группу под названием Shedding Zmiy. В результате специалисты помогли пострадавшим компаниям устранить следы этой группы и предложили способы улучшения кибербезопасности их IT-периметров.

Всего выявлено 35 различных инструментов для разведки, распространения вредоносных программ, незаметного горизонтального перемещения в сети и кражи данных. Shedding Zmiy применяла 20 известных уязвимостей в широко используемом корпоративном программном обеспечении для проникновения в сеть, повышения привилегий и закрепления.

Группировка обладает обширной сетью командных серверов на территории России и арендует ресурсы у разных хостинг-провайдеров и облачных платформ, что позволяет ей обходить блокировки атак по географическому принципу.

Известно, что Shedding Zmiy активно использует методы социальной инженерии, фишинговые атаки и эксплойты уязвимостей в программном обеспечении для проникновения в сети целевых организаций. Это позволяет им получать доступ к конфиденциальным данным и системам, что создает серьезные риски для безопасности и конфиденциальности информации.

Для одной из атак хакеры создали фейковый Telegram‑профиль, выдавая себя за специалиста ИБ‑службы, и узнали у сотрудника компании пароль от учётной записи. Используя скомпрометированную учётку, злоумышленники успели побывать ещё на нескольких хостах, где разместили ВПО.

Эксперты подчеркивают, что для защиты от подобных угроз необходимо улучшить меры ИБ, включая:

В свете выявленных угроз, органы государственной власти и компании должны принять дополнительные меры для защиты своих информационных ресурсов. Это может включать в себя:

Настоящая ситуация подчеркивает важность постоянного мониторинга и обновления систем кибербезопасности, чтобы минимизировать риски кибератак и защитить конфиденциальные данные от утечек.

В заключении можно подчеркнуть следующие ключевые моменты:

  1. Shedding Zmiy представляет значительную опасность для российской инфраструктуры, осуществляя шпионаж и проводя кибератаки на различные отрасли с применением разнообразных вредоносных методов.
  2. Специалисты выявили характерные признаки деятельности группировки, что позволило объединить несколько инцидентов в одну группу под названием Shedding Zmiy.
  3. Группировка использует разнообразные подходы, включая социальную инженерию, фишинг и эксплойты уязвимостей, для получения доступа к конфиденциальным данным и системам целевых организаций.
  4. Для защиты от подобных угроз необходимо улучшить меры кибербезопасности, такие как регулярное обновление программного обеспечения, внедрение многофакторной аутентификации и обучение сотрудников в области кибербезопасности.
  5. Государственные органы и компании должны принять дополнительные меры для защиты информационных ресурсов, включая усиление контроля за сетевой активностью, анализ поведения пользователей и проведение регулярных аудитов безопасности.

В целом, ситуация с Shedding Zmiy подчеркивает необходимость постоянного мониторинга и улучшения систем кибербезопасности для минимизации рисков кибератак и защиты конфиденциальных данных от утечек.

И мы напоминаем, что лучше выстроить реально работающую систему защиты информации заранее, чем стать жертвой атаки хакеров и понести финансовые, репутационные и технические потери.А команда Mask Safe всегда готова вам в этом помочь!
Больше полезной информации вы найдете на нашем сайте.
Гаджеты и электроника
5,73 млн интересуются