Шпионы Shedding Zmiy проникли в десятки российских организаций

Татьяна Никитина 24 Мая 2024 - 20:06

Таргетированные атаки

...

Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности.

Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram.

Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику. Кибершпионы также подняли множество C2-серверов на территории России, воспользовавшись услугами облачных и хостинг-провайдеров, что помогает им обходить блокировки по GeoIP.

В атаках применяются и выложенные в паблик зловреды, и спецразработки под конкретные цели (загрузчики, бэкдоры, веб-шеллы). Для хранения вредоносного кода иногда используются взломанные серверы.

В арсенале Shedding Zmiy исследователи суммарно насчитали 35 инструментов разного назначения и 20 используемых уязвимостей — в основном хорошо известных, таких как Log4Shell, ProxyShell и PrintNightmare .

Один эксплойт оказался редким и замысловатым. Соответствующую уязвимость в ASP.NET (десериализация ненадежных данных в параметре VIEWSTATE) разработчики Microsoft пытались устранить еще десять лет назад, но затем оставили эту затею — в «Солар» полагают, из-за сложности использования лазейки.

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО, в частности, бэкдор Bulldog и загрузчик XDHijack, — отметил эксперт из команды Solar 4RAYS Антон Каргин. — Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах».

Участники Shedding Zmiy также активно используют элементы социальной инженерии. Так, в ходе одной из атак они создали в Telegram поддельный аккаунт ИБ-специалиста целевой компании и от его имени выманили у сотрудника учетные данные для доступа к внутренних хостам.

В другом случае злоумышленники сыграли на доверии между компаниями-партнерами (атака типа Trusted Relationship): взломав сеть телеком-провайдера, разослали от его имени десятки вредоносных писем в другие организации.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 28 Апреля 2026 - 12:57

Android Трояны Домашние пользователи

Срочная проверка счёта в WhatsApp ведёт к заражению Android-смартфонов

Исследователи обнаружили новую вредоносную кампанию, нацеленную на пользователей Android. Злоумышленники рассылают через WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) APK-файл, который маскируется под приложение для банковской проверки. Жертве сообщают, что её банковский счёт могут заблокировать, если она срочно не установит приложение Banking KYC и не пройдёт проверку.

После установки программа показывает экран с требованием обновления и кнопкой Install Update, создавая впечатление обычного обязательного апдейта.

На деле это только первый этап атаки. Приложение работает как загрузчик: оно запрашивает создание VPN-подключения, затем просит разрешение на установку приложений из неизвестных источников и разворачивает скрытый второй APK. Новый компонент не появляется в списке приложений, но продолжает работать в фоне.

Вредоносная программа получает широкие возможности: может перехватывать СМС, включая одноразовые коды, читать журнал сообщений, отправлять СМС, совершать звонки, запускать USSD-команды и управляться через команды от операторов. Для связи с инфраструктурой используется Firebase Cloud Messaging, а украденные данные отправляются на удалённый сервер в зашифрованном виде.

Отдельно исследователи отмечают использование собственного VPN-сервиса. Он позволяет зловреду пропускать трафик устройства через контролируемый интерфейс, анализировать соединения и потенциально мешать работе защитных механизмов, включая облачные проверки безопасности.

Параллельно жертве показывают аккуратно оформленный фишинговый интерфейс, похожий на банковскую KYC-форму. В нём собирают номер телефона, дату рождения и полные данные банковской карты, включая срок действия, CVV и ПИН-код. В конце пользователю показывают сообщение о том, что проверка якобы выполняется и нужно подождать 24 часа.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!