Хакерская группа шпионила за российскими компаниями больше двух лет

Группировка Shedding Zmiy шпионила за российскими компаниями минимум с 2022 года. Хакеры совершили несколько десятков кибератак на госсектор, промышленность, телеком и другие отрасли.

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили деятельность прогосударственной высокопрофессиональной группы Shedding Zmiy, которая шпионит за российскими организациями минимум с 2022 года.  

Специалисты Solar 4RAYS расследовали уже семь инцидентов, связанных с Shedding Zmiy. Группа интересовалась не деньгами – она охотилась за данными. 

Всего эксперты Solar 4RAYS обнаружили следы использования 35 различных инструментов для разведки и похищения данных и 20 известных уязвимостей в корпоративном ПО. 

Для одной из атак хакеры Shedding Zmiy создали фейковый Telegram-профиль, выдавая себя за специалиста ИБ-службы. Таким образом они получили у сотрудника компании пароль от учётной записи, с помощью которого успели побывать на нескольких хостах, где разместили вредоносное программное обеспечение (ВПО).

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО. В частности, бэкдор Bulldog и загрузчик XDHijack. Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах, которые они инвестируют в разработку своего арсенала», — сказал эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Антон Каргин.

Фото: freepik