Шпионы Shedding Zmiy проникли в десятки российских организаций

Татьяна Никитина 24 Мая 2024 - 20:06

Таргетированные атаки

...

Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности.

Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram.

Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику. Кибершпионы также подняли множество C2-серверов на территории России, воспользовавшись услугами облачных и хостинг-провайдеров, что помогает им обходить блокировки по GeoIP.

В атаках применяются и выложенные в паблик зловреды, и спецразработки под конкретные цели (загрузчики, бэкдоры, веб-шеллы). Для хранения вредоносного кода иногда используются взломанные серверы.

В арсенале Shedding Zmiy исследователи суммарно насчитали 35 инструментов разного назначения и 20 используемых уязвимостей — в основном хорошо известных, таких как Log4Shell, ProxyShell и PrintNightmare .

Один эксплойт оказался редким и замысловатым. Соответствующую уязвимость в ASP.NET (десериализация ненадежных данных в параметре VIEWSTATE) разработчики Microsoft пытались устранить еще десять лет назад, но затем оставили эту затею — в «Солар» полагают, из-за сложности использования лазейки.

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО, в частности, бэкдор Bulldog и загрузчик XDHijack, — отметил эксперт из команды Solar 4RAYS Антон Каргин. — Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах».

Участники Shedding Zmiy также активно используют элементы социальной инженерии. Так, в ходе одной из атак они создали в Telegram поддельный аккаунт ИБ-специалиста целевой компании и от его имени выманили у сотрудника учетные данные для доступа к внутренних хостам.

В другом случае злоумышленники сыграли на доверии между компаниями-партнерами (атака типа Trusted Relationship): взломав сеть телеком-провайдера, разослали от его имени десятки вредоносных писем в другие организации.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 18:54

Соответствие законодательству РФ Корпорации Государство

Теневой ИИ берут под контроль: СберТех представил Platform V SOWA AI

На конференции ЦИПР-2026 компания СберТех объявила о запуске Platform V SOWA AI — решения для централизованного управления доступом к системам искусственного интеллекта внутри организаций. Появление подобных инструментов связано с растущей популярностью ИИ-сервисов в корпоративной среде.

Во многих компаниях различные подразделения самостоятельно подключают большие языковые модели и ИИ-инструменты для решения рабочих задач.

В результате возникает так называемый теневой ИИ — набор разрозненных сервисов, использование которых зачастую остается вне поля зрения служб информационной безопасности.

По задумке разработчика, Platform V SOWA AI должна выступать единой точкой доступа ко всем ИИ-сервисам компании. Через платформу проходят запросы сотрудников к большим языковым моделям, а также ответы, которые эти модели формируют.

Система позволяет контролировать права доступа пользователей, отслеживать обращения к ИИ в режиме реального времени и предотвращать передачу конфиденциальной информации во внешние сервисы. Кроме того, платформа ведет аудит взаимодействия с ИИ и поддерживает применение единых корпоративных политик безопасности.

Еще одна задача решения — упростить подключение новых моделей. Вместо отдельной настройки механизмов аутентификации, аудита и контроля для каждого ИИ-сервиса эти функции переносятся на уровень единого инфраструктурного шлюза.

В компании также заявляют о возможности выявления аномальной активности и попыток обхода установленных ограничений при работе с большими языковыми моделями.

Решение ориентировано на крупные организации из различных отраслей, включая финансовый сектор, телекоммуникации, ретейл и промышленность.

Интерес к подобным платформам закономерен: по мере того как искусственный интеллект становится частью повседневных бизнес-процессов, компании все чаще сталкиваются не столько с вопросом внедрения ИИ, сколько с необходимостью управлять его использованием и связанными с ним рисками. Platform V SOWA AI — один из примеров того, как рынок начинает отвечать на этот запрос.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!