Эксперты ГК «Солар» рассказали о новой хакгруппировке Shedding Zmiy, атаковавшей десятки российских компаний

Специалисты группы компаний (ГК) «Солар» выявили деятельность хакерской группировки Shedding Zmiy, занимающейся шпионажем за российскими организациями примерно с 2022 года. На счету хакеров несколько десятков кибератак на государственный сектор, промышленность, телеком и другие отрасли. Скомпрометированные данные они использовали в последующих атаках или выкладывали в публичный доступ.

С 2022 года по май 2024 года исследователи ГК «Солар» расследовали семь инцидентов, связанных с Shedding Zmiy. Сначала специалисты считали, что за атаками стоит группировка Cobalt (exCobalt), так как в первом найденном инциденте фигурировал «фирменный» бэкдор CobInt этой группировки. Однако дальнейшие расследования выявили разницу в мотивах. Cobalt нацелена на финансовую выгоду, а новая хакгруппа Shedding Zmiy интересовалась украденными данными.

В каждой новой атаке Shedding Zmiy старалась действовать по‑разному. Однако ИБ‑ специалисты нашли следы использования одних и тех же вредоносных техник, инструментов, сетевой инфраструктуры и названий компонентов. По этим признакам семь инцидентов были объединены в один кластер под именем Shedding Zmiy. По итогам работ исследователи помогли пострадавшим организациям избавиться от следов присутствия группировки и дали рекомендации по совершенствованию киберзащиты IT‑периметров.

Проведённые расследования показали, что группировка представляет серьёзную угрозу для российской инфраструктуры. Хакеры из Shedding Zmiy применяют и публично доступное вредоносное программное обеспечение (ВПО), и уникальное, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб‑шеллы) ВПО. В некоторых случаях для загрузки вредоносов на системы жертвы использует скомпрометированные легитимные серверы.