Изображение: grok
Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» изучили атаку на одну из российских госорганизаций в области здравоохранения. По итогам расследования выяснилось: хакеры известной проукраинской группировки Shedding Zmiy проникли в инфраструктуру через учетные записи бывших сотрудников на корпоративном VPN‑сервере, которые давно должны были быть удалены. В итоге злоумышленники более шести месяцев могли похищать секретную информацию организации из внутренних баз данных. В ходе расследования специалисты «Cолара» зачистили инфраструктуру от следов присутствия хакеров.
В конце 2025 года медорганизация заподозрила компрометацию инфраструктуры — были выявлены подозрительные подключения с одного из устройств локальной сети к IP-адресам Gsocket (инструмент для соединения между устройствами в обход сетевых ограничений). После анализа ИТ-ландшафта эксперты Solar 4RAYS обнаружили несколько десятков взломанных операционных UNIX-систем, и поняли, что хакеры проникли в организацию через корпоративный VPN-сервер — виртуальную частную сеть, которая обеспечивает персоналу конфиденциальность и целостность информации, передаваемой по открытым каналам связи.
По предположению экспертов, хакеры могли получить доступ к сервису через атаки на сотрудников, которые к моменту расследования уже не работали в компании — именно им принадлежала большая часть подозрительных IP-адресов VPN-пула. При этом учетные записи бывших сотрудников не были вовремя выведены из эксплуатации — этими «мертвыми душами» и воспользовались атакующие, которые подключились к сервису.
После подключения к VPN хакеры скомпрометировали учетную запись сервера PostgreSQL для управления базами данных компании — по данным экспертов, у нее был установлен ненадежный пароль. Для закрепления в системе атакующие разместили утилиту gs-netcat — она позволяет устанавливать прямые соединения между компьютерами (peer-to-peer) или брандмауэрами. Через несколько дней атакующие скомпрометировали множество учетных записей сотрудников, с помощью которых начали перемещаться и заражать инфраструктуру.
В результате анализа взломанных систем эксперты выявили инструментарий, который использует проукраинская группировка Shedding Zmiy, включая новую версию их бэкдора Bulldog с расширенной функциональностью.
Помимо этого, хакеры добавили новый модуль своего стилера. Он позволяет красть информацию из браузеров и делать скриншоты с устройств пользователей, то есть получать данные не только из баз данных организации, но и напрямую с устройств сотрудников. Интерес также вызывает упоминание macOS в описании одной из команд стилера. Это может означать, что хакеры могут атаковать устройства не только на Windows и UNIX-системах, но и девайсы из экосистемы Apple.
Любопытно, что, по наблюдениям Solar 4RAYS, в 2025 году Shedding Zmiy фактически прекратила или заметно снизила свою активность. Вероятно, проукраинские хакеры уходили в затишье, чтобы обновить инструментарий и вернуться с новыми силами, а значит, они уже сегодня представляют серьезную угрозу для всех ключевых российских организаций.
«При расследовании кибератак нам часто задают вопрос — почему атакующих не замечали так долго? В данном случае ИБ-специалисты медорганизации замечали различные ИБ‑инциденты и устраняли их последствия. Но их антивирус из-за отсутствия нужных сигнатур не смог распознать образцы уникального ВПО, также они вовремя не удаляли учетные записи бывших сотрудников и не выявили источник компрометации. Как итог: атакующие возвращались снова и снова. Именно поэтому при большом количестве подозрительных инцидентов ИБ мы настоятельно рекомендуем пользоваться услугами специалистов по реагированию — это поможет вычислить причины проникновения хакеров в инфраструктуру, выявить все скомпрометированные системы и учетные записи, а также принять меры по устранению угроз до наступления непоправимых последствий — от утечки данных до уничтожения критичных ИТ-систем», — подчеркнул Денис Чернов, эксперт Solar 4RAYS.
Специалисты Solar 4RAYS рекомендуют российским организациям:
- Автоматизировать управление учетными записями сотрудников и своевременно выводить их из эксплуатации (например, с помощью IdM-решения);
- Подключаться к корпоративным VPN-сервисам с помощью двухфакторной аутентификации;
- Записывать все данные о подключениях к корпоративным VPN и сохранять записи в SIEM.
Оригинал публикации на сайте CISOCLUB: "«Мертвые души» атакуют: в «Соларе» выявили новую кибератаку Shedding Zmiy на российское медучреждение".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.