Группировка Shedding Zmiy атаковала десятки российских организаций - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
29-05-2024, 00:00
Группировка Shedding Zmiy атаковала десятки российских организаций - «Новости»
Рейтинг:
Категория: Новости

Аналитики исследования киберугроз Solar 4RAYS ГК «Солар» рассказали об активности прогосударственной хакерской группировки Shedding Zmiy, которая шпионит за российскими организациями минимум с 2022 года. На счету этой группы несколько десятков кибератак на госсектор, промышленность, телеком и другие отрасли. Скомпрометированные данные они использовали в последующих атаках, а также публиковали в открытом доступе.


С 2022 года по настоящее время специалисты расследовали уже семь инцидентов, связанных с Shedding Zmiy. Поначалу исследователи сочли, что за атаками стоит группировка Cobalt (exCobalt), так как уже в первом расследованном инциденте был обнаружен ее «фирменный» бэкдор CobInt. Однако дальнейшие расследования выявили разницу в мотивах. По сравнению с Cobalt, нацеленной на финансовую выгоду, группа, названная впоследствии Shedding Zmiy, интересовалась не деньгами – она охотилась за данными.


Хотя в каждой атаке хакеры старались действовать по-разному, аналитики обнаружили следы использования одних и тех же вредоносных техник, инструментов, сетевой инфраструктуры и названий компонентов. По этим признакам семь на первый взгляд разных инцидентов были объединены в один кластер под именем Shedding Zmiy.


 «Мы назвали группировку Shedding Zmiy, потому что всякий раз, когда мы с ними сталкивались, видели их в новом обличии с измененным набором тактик, техник и процедур. Как змеи регулярно меняют кожу, так и они демонстрируют исключительную вариативность и гибкость в методах своих атак. И именно Zmiy, так как с группировкой связаны несколько проукраинских Telegram-каналов, в которых публиковали данные, украденные у атакованных организаций», — комментирует инженер группы расследования инцидентов Solar 4RAYS ГК «Солар» Геннадий Сазонов.


Проведенные расследования показали, что группировка представляет серьезную угрозу для российской инфраструктуры. Хакеры применяют как публично доступную малварь так и уникальную, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб-шеллы).


Для загрузки вредоносов в системы жертвы иногда использует скомпрометированные легитимные серверы. Также хакеры эксплуатировали специфичную и еще незакрытую вендором уязвимость в ASP.NET.


В общей сложности эксперты Solar 4RAYS обнаружили следы использования 35 различных инструментов для разведки, доставки малвари, скрытного бокового перемещения внутри сетей и кражи данных. Для проникновения в сеть, повышения привилегий и закрепления, атакующие использовали 20 известных уязвимостей в распространенном корпоративном ПО.


Также  в отчете отмечается, что Shedding Zmiy умеет запутывать следы. Группировка владеет обширной сетью управляющих серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах. Это помогает злоумышленникам обходить блокировки атак по территориальному признаку.


Shedding Zmiy активно прибегает и к высокопрофессиональной социальной инженерии. К примеру, для одной из атак хакеры создали фейковый Telegram-профиль, выдавая себя за специалиста ИБ-службы, и «выпросили» у сотрудника компании пароль от учетной записи. Используя скомпрометированный аккаунт, хакеры успели побывать еще на нескольких хостах, где разместили малварь.


Помимо этого, группа была замечена в эксплуатации доверительных отношений между организациями (атаки типа Trusted Relationship). Например, заразив сеть неназванного телеком-провайдера, хакеры попытались атаковать еще три организации, разослав из взломанной сети несколько десятков писем с вредоносными вложениями.


 «В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО. В частности, бэкдор Bulldog и загрузчик XDHijack. Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Все это говорит о высоком профессионализме злоумышленников и немалых ресурсах, которые они инвестируют в разработку своего арсенала», — добавляет эксперт Solar 4RAYS ГК «Солар» Антон Каргин.


Аналитики исследования киберугроз Solar 4RAYS ГК «Солар» рассказали об активности прогосударственной хакерской группировки Shedding Zmiy, которая шпионит за российскими организациями минимум с 2022 года. На счету этой группы несколько десятков кибератак на госсектор, промышленность, телеком и другие отрасли. Скомпрометированные данные они использовали в последующих атаках, а также публиковали в открытом доступе. С 2022 года по настоящее время специалисты расследовали уже семь инцидентов, связанных с Shedding Zmiy. Поначалу исследователи сочли, что за атаками стоит группировка Cobalt (exCobalt), так как уже в первом расследованном инциденте был обнаружен ее «фирменный» бэкдор CobInt. Однако дальнейшие расследования выявили разницу в мотивах. По сравнению с Cobalt, нацеленной на финансовую выгоду, группа, названная впоследствии Shedding Zmiy, интересовалась не деньгами – она охотилась за данными. Хотя в каждой атаке хакеры старались действовать по-разному, аналитики обнаружили следы использования одних и тех же вредоносных техник, инструментов, сетевой инфраструктуры и названий компонентов. По этим признакам семь на первый взгляд разных инцидентов были объединены в один кластер под именем Shedding Zmiy. «Мы назвали группировку Shedding Zmiy, потому что всякий раз, когда мы с ними сталкивались, видели их в новом обличии с измененным набором тактик, техник и процедур. Как змеи регулярно меняют кожу, так и они демонстрируют исключительную вариативность и гибкость в методах своих атак. И именно Zmiy, так как с группировкой связаны несколько проукраинских Telegram-каналов, в которых публиковали данные, украденные у атакованных организаций», — комментирует инженер группы расследования инцидентов Solar 4RAYS ГК «Солар» Геннадий Сазонов. Проведенные расследования показали, что группировка представляет серьезную угрозу для российской инфраструктуры. Хакеры применяют как публично доступную малварь так и уникальную, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб-шеллы). Для загрузки вредоносов в системы жертвы иногда использует скомпрометированные легитимные серверы. Также хакеры эксплуатировали специфичную и еще незакрытую вендором уязвимость в ASP.NET. В общей сложности эксперты Solar 4RAYS обнаружили следы использования 35 различных инструментов для разведки, доставки малвари, скрытного бокового перемещения внутри сетей и кражи данных. Для проникновения в сеть, повышения привилегий и закрепления, атакующие использовали 20 известных уязвимостей в распространенном корпоративном ПО. Также в отчете отмечается, что Shedding Zmiy умеет запутывать следы. Группировка владеет обширной сетью управляющих серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах. Это помогает злоумышленникам обходить блокировки атак по территориальному признаку. Shedding Zmiy активно прибегает и к высокопрофессиональной социальной инженерии. К примеру, для одной из атак хакеры создали фейковый Telegram-профиль, выдавая себя за специалиста ИБ-службы, и «выпросили» у сотрудника компании пароль от учетной записи. Используя скомпрометированный аккаунт, хакеры успели побывать еще на нескольких хостах, где разместили малварь. Помимо этого, группа была замечена в эксплуатации доверительных отношений между организациями (атаки типа Trusted Relationship). Например, заразив сеть неназванного телеком-провайдера, хакеры попытались атаковать еще три организации, разослав из взломанной сети несколько десятков писем с вредоносными вложениями. «В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО. В частности, бэкдор Bulldog и загрузчик XDHijack. Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Все это говорит о высоком профессионализме злоумышленников и немалых ресурсах, которые они инвестируют в разработку своего арсенала», — добавляет эксперт Solar 4RAYS ГК «Солар» Антон Каргин.

Теги: Новости, Shedding Zmiy, Взлом

Просмотров: 213
Комментариев: 0:   29-05-2024, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: