Фахівці з кібербезпеки компанії Solar 4RAYS виявили критичну загрозу – високотехнологічний руткіт Puma, розроблений хакерським угрупованням Shedding Zmiy. Особливість цього шкідливого програмного забезпечення полягає в його винятковій здатності приховувати свою присутність у системі, що робить його виявлення надзвичайно складним завданням для традиційних засобів захисту.
Хронологія та механізм проникнення
Дослідження інциденту показало, що зловмисники отримали несанкціонований доступ до корпоративної мережі через вразливість у загальнодоступному програмному забезпеченні Bitrix у серпні 2023 року. Масштабне поширення шкідливого ПЗ розпочалося в листопаді 2023 року, коли системи моніторингу зафіксували підозрілі SSH-підключення з використанням привілейованих облікових даних.
Технічні особливості руткіта Puma
Руткіт Puma представляє собою складний модуль ядра Linux, розроблений мовою програмування C. Він функціонує в тандемі з компонентом Pumatsune, який забезпечує віддалене керування інфікованими системами. Основний функціонал включає приховування процесів, перехоплення системних викликів та ексфільтрацію конфіденційних даних.
Додатковий арсенал зловмисників
В ході розслідування виявлено комплексне використання різноманітних шкідливих інструментів, включаючи руткіт Megatsune та різні версії Bulldog Backdoor. Зловмисники також застосовують модифіковані системні утиліти для маскування мережевої активності та підміни легітимних процесів.
Масштаби та наслідки діяльності Shedding Zmiy
Аналіз інцидентів показує високу адаптивність групи до різних цільових середовищ. За даними Solar 4RAYS, угруповання відповідальне за 34% усіх розслідуваних кіберінцидентів у 2024 році. Залежно від цілей атаки, зловмисники можуть як проводити довготривале кібершпигунство, так і вдаватися до деструктивних дій.
Виявлення руткіта Puma свідчить про значний технологічний прогрес у розробці шкідливого програмного забезпечення. Організаціям рекомендується впровадити багаторівневу систему захисту, включаючи постійний моніторинг мережевої активності, регулярне оновлення систем безпеки та проведення комплексних аудитів безпеки. Особливу увагу слід приділити захисту критичної інфраструктури та навчанню персоналу методам виявлення та протидії сучасним кіберзагрозам.
