Группировка Shedding Zmiy начала использовать новый вредонос Puma

Группировка Shedding Zmiy начала использовать новое вредоносное программное обеспечение (ВПО) Puma для атак на российские организации. Цель этого ВПО — перехват управления атакованной системой. Из‑за сложных механизмов заражения присутствие Puma в инфраструктуре практически невозможно обнаружить. Первую атаку с его применением эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» зафиксировали в конце 2024 года при расследовании инцидента в одной из российских IT‑компаний. Злоумышленники находились в её сети около 1,5 лет.

Shedding Zmiy описана специалисты Solar 4RAYS в начале 2024 года. По итогам 2024 года на действия этой группы пришлось 34% всех расследований центра. Группировка специализируется на шпионаже и атаках, направленных на разрушение инфраструктуры. Shedding Zmiy регулярно меняет свои тактики и инструменты, что отражает её название (shedding — сбрасывающий кожу). О том, как была обнаружена группировка, информационной службе Хабра рассказали специалисты «Солара» в отдельном интервью.

Расследование инцидента началось после того, как служба безопасности компании обнаружила подозрительные подключения к внешним серверам. В результате анализа были выявлены признаки работы вредоносного ПО, связанного с инфраструктурой Shedding Zmiy. К работе привлекли экспертов Solar 4RAYS.

В сети жертвы нашли 10 руткитов Puma разных версий и другие вредоносные инструменты Shedding Zmiy, в том числе gsocket и Bulldog Backdoor. Эти средства обеспечивали полный контроль над инфраструктурой компании.

Puma — это руткит для Linux, написанный на языке C. ВПО загружается в ядро системы, перехватывает функции и системные вызовы, а затем запускает Pumatsune. Руткит скрывает загруженные модули, активность вредоносных процессов и может