Shedding Zmiy - не просто хакеры: 2 года профессиональной охоты на российские секреты

RutoR

Support81

Original poster
Administrator
Сообщения
1 020
Реакции
204
Посетить сайт
Пентестеры, разработчики ВПО, операторы... кто стоит за группировкой?
zmiy.jpg


Специалисты центра исследования киберугроз Solar 4RAYS обнаружили и изучили деятельность высокопрофессиональной хакерской группировки Shedding Zmiy. Эксперты

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, что злоумышленники использовали скомпрометированные данные российских компаний не только для последующих атак, но и публиковали их в открытом доступе. При этом основной целью группы, по словам исследователей, была не финансовая выгода, а кража конфиденциальной информации.

В Solar 4RAYS не смогли точно атрибутировать происхождение группы, но отметили несколько характерных этой группировке признаков. Во-первых, похищенные данные публиковались в проукраинских Telegram-каналах. Во-вторых, в части используемого инструментария Shedding Zmiy связана с другими группировками (Cobalt, exCobalt, Shadow, Comet, Twelve, «о происхождении которых в сообществе исследователей киберугроз сложилось определенное мнение»). В-третьих, в логах атак встречались команды на украинском и русском языках. Наконец, целями Shedding Zmiy становились преимущественно российские организации.

По словам экспертов, группировка представляет серьезную угрозу для РФ. Она применяет как общедоступное, так и собственное уникальное вредоносное ПО. Для внедрения вредоносов на системы жертв хакеры порой использовали скомпрометированные легитимные серверы. Shedding Zmiy умеет запутывать следы: группировка владеет «обширной сетью командных серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах; это помогает хакерам обходить блокировки атак по территориальному признаку (по GeoIP)».

На первый взгляд разрозненные инциденты со схожими признаками использования ВПО, уязвимостей, инфраструктуры были объединены экспертами в один кластер. Всего специалисты Solar 4RAYS обнаружили следы применения 35 различных инструментов на этапах разведки, доставки вредоносов, распространения по сети и кражи данных. Для проникновения в сеть, эскалации привилегий и закрепления хакеры задействовали как минимум 20 известных уязвимостей в популярном корпоративном ПО.

Кроме технических средств, Shedding Zmiy охотно прибегала к социальной инженерии. Так, в одном случае злоумышленники создали фейковый Telegram-аккаунт, выдав себя за сотрудника ИБ-службы компании-жертвы, чтобы выпросить у реального работника пароль для входа в систему. Используя скомпрометированную учетку, злоумышленники успели побывать еще на нескольких хостах, где разместили ВПО.

С начала 2022 года группа успела атаковать несколько десятков российских компаний из государственного, промышленного, телекоммуникационного и других ключевых секторов. В Solar 4RAYS не раскрыли имен конкретных жертв.

По оценке экспертов, в состав Shedding Zmiy входят отдельные команды разных специализаций: пентестеры, разработчики ВПО, операторы и администраторы. Минимально для подготовки таких атак требуется 5-6 высококвалифицированных сотрудников разного профиля и серьезный бюджет, включая средства на покупку коммерческого вредоносного ПО вроде SystemBC, EkipaRAT и DarkGate.

На подпольных форумах предложения о продаже DarkGate достигают примерно $100 000 за годовую лицензию. Сама разработка арсенала стоит на порядок больше, чем стоимость экземпляра ПО — то есть уже не $100 000, а $1 млн., отмечают эксперты. В свою очередь, стоимость атаки уже на порядок выше стоимости разработки — туда входит как несколько утилит, так и немалый ресурс самих атакующих.

Сами хакеры демонстрируют высочайший уровень разработки. В частности, ими был создан целый фреймворк для автоматизированной эксплуатации одной из уязвимостей. Это говорит об инвестициях значительных временных и финансовых ресурсов в развитие вредоносного арсенала группы.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Конец MATRIX: преступные тайны больше не скрыты за шифрами Новости в сети 0
Support81 Урок не выучен: Onyx теряет $3,8 млн из-за старой уязвимости Новости в сети 0
Support81 Думаете, VPN спасает вас от слежки? Это не так Новости в сети 0
Support81 Teletoken: Telegram-боты больше не анонимны Новости в сети 0
Support81 CVE-2024-38217: почему 0day в Windows не могли обнаружить целых 6 лет? Новости в сети 0
Support81 D-Link: «Да, в нашем роутере 4 дыры, но исправлять их мы не планируем» Новости в сети 0
Support81 Windows Downdate: ни одно обновление не спасёт ваш компьютер от кибератаки Новости в сети 0
Support81 На телефон поступил одноразовый код? Похоже, он предназначен не для вас Новости в сети 0
V Не сложная работа! Предоставляю работу. Ищу специалиста. 0
Support81 Фишинговые мамонты: как не стать жертвой Scam 1.0 и Scam 2.0? Новости в сети 0
Support81 Хорошев или не Хорошев? Могло ли ФБР ошибиться, связав мужчину с вымогательской империей LockBit Новости в сети 0
Support81 ФБР: «Прогорели на левом обменнике? Не наши проблемы» Новости в сети 0
K GarryPay.com, @RobiGarry - не выполняет обязательства и не возвращает деньги Black list и Разборки 2
Support81 Эпидемия малвертайзинга: почему блокировщики рекламы – не просто удобство, а необходимость Новости в сети 0
JohnDeniels На проверке Разработка скриптов, сайтов, ботов, копии страниц, профессионально, быстро, не дорого! Ищу работу. Предлагаю свои услуги. 1
Support81 X vs. мошенники: ссылки в постах ведут не туда Новости в сети 0
Emilio_Gaviriya Статья Active Directory – это не сложно. WiFi/Wardriving/Bluejacking 0
CodeBoB Продам Толковый кодер Сайты|Софт|Не дорого - Smart coder Websites|Soft|Not expensive Услуги дизайнеров/веб-разработчиков 0
Support81 Мир готовят к новой эпидемии: Кто не верит – три года тюрьмы Новости в сети 0
Support81 TinyTurla-NG пустила корни в польских организациях: прогнать хакеров не сможет уже никто Новости в сети 0
Support81 Автоматизация вымогательства: MrAgent не оставляет шансов виртуальным машинам Новости в сети 0
Emilio_Gaviriya Статья Почему двухфакторная аутентификация не всегда надежна? Уязвимости и взлом 0
Support81 Не только умный, но и опасный: темная сторона ИИ от Microsoft Новости в сети 0
Support81 Никто не может служить двум господам... Свободное общение и флейм 2
Support81 Google Карты больше не передают данные о местоположении правоохранительным органам Новости в сети 0
Support81 Охота на мамонтов продолжается: «Неандертальцы» не оставляют шанса пользователям Авито, Юлы и СДЭК Новости в сети 0
Support81 Пользователи Microsoft 365 рискуют потерять аккаунт: не спасёт даже МФА Новости в сети 0
Support81 В деле хакеров REvil не нашли нарушения подследственности Новости в сети 0
I Прием: Шеллы, лом, дорвеи, любой спам, pops и другие источники не целевого трафика Доступы - FTP, shell'ы, руты, sql-inj, БД 5
Support81 Победителей не будет: авторы Tor вступают в неравный бой с DDoS-атаками Новости в сети 0
АнАлЬнАя ЧуПаКаБрА Проверено Сервис с Гифтами, Ключами игр, Вывод баланса (Валид не нужен) Продажа софта 0
КАРНАВАЛЬНЫЙ Ищу людей со всей РФ в свою команду для разовых заданий! Не Нарко Предоставляю работу. Ищу специалиста. 1
turbion0 Интересно QIWI ограничил вывод средств с кошельков. Не больше 1000 рублей в месяц и запрет на СБП Новости в сети 0
turbion0 Интересно Не подключившихся к «суверенному интернету» провайдеров ждут штрафы Новости в сети 0
turbion0 Статья Тинькофф Банк с 31 июля начнет взимать комиссию за пополнение карт «Мир» через банкоматы других банков, не входящих в число партнеров. Сейчас в банке Новости в сети 1
Support81 Хакеры больше не плачут: доходы от вымогательских атак в этом году резко возросли Новости в сети 1
C На проверке Вывод роликов YouTube в топ|Не сео|Нам нету равных Ищу работу. Предлагаю свои услуги. 1
Lirik in code Закрыто Разработка скриптов, сайтов, ботов, копии страниц, профессионально, быстро, не дорого. Корзина 1
D Как поставить лайк? или убрать хайд? может ли не показываться кнопка лайка? Вопросы и интересы 7
T Закрыто Crypto фишинги и не только Корзина 1
Novgarant Закрыто Фото документов+Селфи USA/EU/Азия Не юзаные / ID Photo+Selfies USA/EU/Asia Unused Корзина 1
С Продам SeedCheck - Чекер Seed Фраз | Seed Phrase Checker - Не панель Сайты/Хостинг/Сервера 3
A Продам Процессим СКАМ платежи по Европе и не только... Трафик, загрузки, инсталлы, iframe 1
AHAHAC Солью хайды с LOLZ (не реклама ) Другое 0
NikitaKit £€$Распродажа проектов и не только$€£ Продажа софта 1
X Интересно Смотрите какая смехота творится на BHF, ржу не могу] Свободное общение и флейм 1
H Не могу установить драйвер Nvidia Kali Linux Все что не подошло по разделу 1
Predator7 Zabugor Под не валид запросы 339 мб Раздача email 0
balof Плюшки телеграм о которых вы скорее всего не слышали Полезные статьи 0
adflak Идентификация кошельков PAYPAL \ Цупис1 \ QIWI \ Юмани не дорого! Финансы - биллинги, банки, кошельки, логи 1

Название темы

Русскоязычный Даркнет Форум