Шпионы Shedding Zmiy проникли в десятки российских организаций

Татьяна Никитина 24 Мая 2024 - 20:06

Таргетированные атаки

...

Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности.

Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram.

Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику. Кибершпионы также подняли множество C2-серверов на территории России, воспользовавшись услугами облачных и хостинг-провайдеров, что помогает им обходить блокировки по GeoIP.

В атаках применяются и выложенные в паблик зловреды, и спецразработки под конкретные цели (загрузчики, бэкдоры, веб-шеллы). Для хранения вредоносного кода иногда используются взломанные серверы.

В арсенале Shedding Zmiy исследователи суммарно насчитали 35 инструментов разного назначения и 20 используемых уязвимостей — в основном хорошо известных, таких как Log4Shell, ProxyShell и PrintNightmare .

Один эксплойт оказался редким и замысловатым. Соответствующую уязвимость в ASP.NET (десериализация ненадежных данных в параметре VIEWSTATE) разработчики Microsoft пытались устранить еще десять лет назад, но затем оставили эту затею — в «Солар» полагают, из-за сложности использования лазейки.

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО, в частности, бэкдор Bulldog и загрузчик XDHijack, — отметил эксперт из команды Solar 4RAYS Антон Каргин. — Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах».

Участники Shedding Zmiy также активно используют элементы социальной инженерии. Так, в ходе одной из атак они создали в Telegram поддельный аккаунт ИБ-специалиста целевой компании и от его имени выманили у сотрудника учетные данные для доступа к внутренних хостам.

В другом случае злоумышленники сыграли на доверии между компаниями-партнерами (атака типа Trusted Relationship): взломав сеть телеком-провайдера, разослали от его имени десятки вредоносных писем в другие организации.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Июня 2026 - 17:13

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Рекламодатели нарастили бюджеты в Telegram на 11% вопреки угрозе запрета

Разговоров о возможном запрете рекламы в Telegram становится всё больше, но бюджеты рекламодателей, похоже, об этом не знают. По данным МТС AdTech, в мае инвестиции в продвижение через мессенджер выросли на 11% по сравнению с апрелем. Причём рост оказался вполне здоровым.

Стоимость тысячи показов (CPM), по данным «Коммерсанта», увеличилась всего на 4%, зато кликабельность рекламы (CTR) подскочила сразу на 22%.

Одновременно цена одного клика снизилась на 10%, что сделало размещения ещё привлекательнее для бизнеса.

Самый заметный рост показали каналы из сегмента FMCG. Их аудитория увеличилась более чем в два раза, а рекламные бюджеты выросли на 88%. У СМИ просмотры прибавили около 40%, практически повторив динамику рекламных вложений.

Рынок постепенно приходит в себя после мартовского заявления ФАС, которая сообщила, что с конца 2026 года реклама в Telegram может быть признана незаконной. Несмотря на это, банки, ретейл и девелоперы продолжают возвращать бюджеты на площадку, а крупные компании по-прежнему проводят тендеры на размещения в Telegram на следующий год.

Участники рынка объясняют ситуацию по-разному. Одни считают, что рекламодатели пытаются успеть воспользоваться возможностями Telegram до вступления ограничений в силу. Другие уверены, что причина гораздо проще: Telegram остаётся крупнейшей и наиболее эффективной площадкой на рынке.

По данным Mediascope, месячная аудитория Telegram в апреле достигла 87,9 млн человек. Для сравнения, национальный мессенджер МАКС собрал 85,35 млн пользователей.

При этом МАКС тоже активно растёт. По оценкам Telega.in, с февраля по май оборот рекламных размещений в мессенджере увеличился более чем в шесть раз, а число заказов выросло в 4,5 раза. Однако эксперты отмечают, что Telegram пока выигрывает не количеством установок, а качеством аудитории и доверием к контенту.

Интересно, что рынок уже начал готовиться к возможным юридическим рискам. По данным источников «Коммерсанта», некоторые агентства включают в договоры специальные условия, по которым возможные штрафы за рекламу в Telegram будет оплачивать заказчик, а не посредник.

Получается любопытная картина: чем громче разговоры о запретах, тем активнее рекламодатели продолжают покупать рекламу в Telegram.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!