Недавние исследования показывают, что группа Shedding Zmiy активно использует определенный идентификатор клиента в различных атаках, что указывает на методичный подход к своим операциям. В арсенале злоумышленников находится бэкдор Bulldog, кроссплатформенный имплантат, закодированный на Go, который используется как минимум с 2024 года.
Функциональные возможности бэкдора Bulldog
Данное вредоносное ПО проявляет множество функциональных возможностей, позволяющих злоумышленникам эффективно управлять скомпрометированной инфраструктурой. Веб-панель Bulldog Backdoor служит основным интерфейсом для злоумышленников, что обеспечивает централизованное управление операциями. К числу её ключевых функций относятся:
- Управление сеансами
- Передача команд на развернутые имплантаты с возможностью выбора времени
- Сбор статистики активных сеансов в режиме реального времени
- Интерактивная карта с детализацией скомпрометированной инфраструктуры жертвы
Кроме того, в работе панели используется сложная иерархическая система классификации объектов и узлов, что значительно расширяет возможности операторов по управлению информацией на различных уровнях. Эта обширная система контроля дополняется встроенной функциональностью для автоматического подбора пароля на основе учетных данных, полученных из зараженных систем.
Взаимодействие и управление сеансами
Весь код панели адаптирован для поддержания операционных потребностей злоумышленников. Он позволяет:
- Взаимодействовать через REST API
- Управлять двоичными файлами, связанными с действиями пользователей
- Предоставлять инструменты для динамического управления сеансами
Организация данных в панели управления способствует поддержанию эффективного рабочего процесса во время вредоносных кампаний. Это предоставляет возможности для:
- Добавления учетных данных и управления ими
- Создания заметок, связанных с целями
- Взаимодействия с различными типами имплантатов, включая бэкдоры Bulldog
Анализ и выводы
Исследования показывают, что группа Shedding Zmiy активно отслеживает и поддерживает в рабочем состоянии свою инфраструктуру командования и контроля. Эта бдительность сигнализирует о глубоком понимании ландшафта угроз и необходимости постоянной адаптации для поддержания эффективности своих атак.
Анализ инструментов группы, в особенности веб-панели, выявил возможности, позволяющие злоумышленникам осуществлять масштабные операции, сохраняя при этом висевающую секретность в скомпрометированных средах. Эти результаты предоставляют ценную информацию, необходимую для улучшения мер кибербезопасности и разработки более эффективных средств защиты против возникающих угроз.
Таким образом, знание механизмов атаки и инструментов, используемых группой Shedding Zmiy, имеет критическое значение для защиты от подобных киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Группа Shedding Zmiy: бэкдор Bulldog и шаблонные атаки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.