Специалисты по кибербезопасности из Solar 4RAYS обнаружили новую серьезную угрозу — руткит Puma, который используется проукраинской хакерской группировкой Shedding Zmiy. Данный вредоносный инструмент обладает исключительной способностью маскировать свое присутствие в системе, что делает его обнаружение крайне затруднительным.
Анатомия сложной кибератаки
В ходе расследования инцидента в российской ИТ-компании эксперты выявили, что злоумышленники находились в корпоративной сети около 1,5 лет. Первоначальное проникновение произошло через уязвимость в публично доступном ПО Bitrix в августе 2023 года. Массовое заражение систем началось в ноябре 2023 года, когда были зафиксированы подозрительные SSH-подключения с привилегированными учетными данными.
Технический арсенал злоумышленников
В инфраструктуре атакованной компании обнаружено несколько типов вредоносного ПО. Ключевым компонентом стал руткит Puma — модуль ядра Linux, написанный на языке C. Он работает в связке с компонентом Pumatsune, обеспечивающим удаленное управление зараженной системой. Функционал Puma включает маскировку процессов, перехват системных вызовов и кражу конфиденциальных данных.
Дополнительные инструменты атаки
Помимо Puma, злоумышленники использовали руткит Megatsune, Bulldog Backdoor различных версий и набор модифицированных системных утилит. Особую опасность представляет способность атакующих скрывать свою активность путем подмены легитимных системных процессов и маскировки сетевых подключений.
Тактика и стратегия Shedding Zmiy
Группировка демонстрирует высокую адаптивность в своих атаках. В зависимости от профиля жертвы, злоумышленники могут как заниматься длительным кибершпионажем, так и переходить к деструктивным действиям, включая шифрование или уничтожение инфраструктуры. По данным Solar 4RAYS, в 2024 году группировка была причастна к 34% всех расследованных инцидентов.
Обнаружение руткита Puma знаменует новый этап в развитии киберугроз. Организациям настоятельно рекомендуется усилить мониторинг систем безопасности, регулярно обновлять защитные механизмы и проводить аудит сетевой активности для своевременного выявления признаков компрометации. Постоянное совершенствование инструментов атаки группировкой Shedding Zmiy требует от специалистов по информационной безопасности повышенной бдительности и готовности к противодействию новым угрозам.