Опасный руткит Puma: эксперты раскрыли новый инструмент кибератак группировки Shedding Zmiy

CyberSecureFox 🦊

Специалисты по кибербезопасности из Solar 4RAYS обнаружили новую серьезную угрозу — руткит Puma, который используется проукраинской хакерской группировкой Shedding Zmiy. Данный вредоносный инструмент обладает исключительной способностью маскировать свое присутствие в системе, что делает его обнаружение крайне затруднительным.

Анатомия сложной кибератаки

В ходе расследования инцидента в российской ИТ-компании эксперты выявили, что злоумышленники находились в корпоративной сети около 1,5 лет. Первоначальное проникновение произошло через уязвимость в публично доступном ПО Bitrix в августе 2023 года. Массовое заражение систем началось в ноябре 2023 года, когда были зафиксированы подозрительные SSH-подключения с привилегированными учетными данными.

Технический арсенал злоумышленников

В инфраструктуре атакованной компании обнаружено несколько типов вредоносного ПО. Ключевым компонентом стал руткит Puma — модуль ядра Linux, написанный на языке C. Он работает в связке с компонентом Pumatsune, обеспечивающим удаленное управление зараженной системой. Функционал Puma включает маскировку процессов, перехват системных вызовов и кражу конфиденциальных данных.

Дополнительные инструменты атаки

Помимо Puma, злоумышленники использовали руткит Megatsune, Bulldog Backdoor различных версий и набор модифицированных системных утилит. Особую опасность представляет способность атакующих скрывать свою активность путем подмены легитимных системных процессов и маскировки сетевых подключений.

Тактика и стратегия Shedding Zmiy

Группировка демонстрирует высокую адаптивность в своих атаках. В зависимости от профиля жертвы, злоумышленники могут как заниматься длительным кибершпионажем, так и переходить к деструктивным действиям, включая шифрование или уничтожение инфраструктуры. По данным Solar 4RAYS, в 2024 году группировка была причастна к 34% всех расследованных инцидентов.

Обнаружение руткита Puma знаменует новый этап в развитии киберугроз. Организациям настоятельно рекомендуется усилить мониторинг систем безопасности, регулярно обновлять защитные механизмы и проводить аудит сетевой активности для своевременного выявления признаков компрометации. Постоянное совершенствование инструментов атаки группировкой Shedding Zmiy требует от специалистов по информационной безопасности повышенной бдительности и готовности к противодействию новым угрозам.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.