APT-группа Shedding Zmiy атакует российские организации

В последнее время APT-группа под условным именем Shedding Zmiy усилила свою активность в России. С 2022 года группировка осуществила атаки на десятки государственных учреждений, промышленные предприятия и телеком-сети. В ходе кибератак они используют различные методы, включая социальную инженерию и эксплуатацию известных уязвимостей.

Эксперты по кибербезопасности выявили, что злоумышленники применяют обширный набор инструментов, среди которых загрузчики, бэкдоры и веб-шеллы. Один из используемых бэкдоров, CobInt, изначально ассоциировался с другой известной группой, Cobalt, однако дальнейшее расследование показало отсутствие связей между этими группировками. Shedding Zmiy не стремится к финансовой выгоде; их основная цель — кража данных для последующего использования в атаках или распространения через платформы, такие как Telegram.

Исследователи обратили внимание на то, что атаки проводятся с использованием C2-серверов, размещенных на территории России, что помогает обходить блокировки по GeoIP. К тому же, в арсенале группы насчитывается более 35 разнообразных инструментов и 20 уязвимостей, включая известные Log4Shell и ProxyShell.

Кроме технических средств, злоумышленники активно используют элементы социальной инженерии. Например, создавая поддельные аккаунты в Telegram для кражи учетных данных или взламывая телеком-сети, чтобы отправлять мошеннические сообщения от их имени.