«Мертвые души» в VPN‑сервере привели к атаке Shedding Zmiy на российское медучреждение
В российской государственной медицинской организации выявлена атака хакерской группы Shedding Zmiy, сообщили SecPost в компании «Солар». Злоумышленники проникли в инфраструктуру через учетные записи бывших сотрудников на корпоративном VPN‑сервере, которые не были своевременно удалены.
Как сообщили эксперты, хакеры более шести месяцев имели доступ к внутренним базам данных организации. В ходе расследования специалисты обнаружили несколько десятков взломанных UNIX‑систем. Первым признаком компрометации стали подозрительные подключения с устройства в локальной сети к IP‑адресам инструмента Gsocket, позволяющего обходить сетевые ограничения.
После подключения к VPN атакующие скомпрометировали учетную запись сервера PostgreSQL, использовав ненадежный пароль. Для закрепления в системе была размещена утилита gs‑netcat, которая позволяет устанавливать прямые соединения между компьютерами (peer-to-peer) или брандмауэрами, а затем скомпрометированы множественные учетные записи сотрудников. В арсенале хакеров выявлен инструментарий Shedding Zmiy, включая новую версию бэкдора Bulldog, а также модуль стилера, который позволяет красть данные из браузеров и делать скриншоты с устройств пользователей.
В описании одной из команд стилера упоминается macOS, что, как отмечается в сообщении, может указывать на возможность атак на устройства Apple наряду с Windows и UNIX‑системами.
По наблюдениям компании, в 2025 году активность Shedding Zmiy значительно снизилась — вероятно, в связи с обновлением инструментария. В организации также добавили, что антивирусное ПО медучреждения не смогло распознать образцы вредоносного ПО из‑за отсутствия сигнатур, а источник компрометации не был выявлен, что позволяло атакующим возвращаться.
В качестве мер предотвращения в компании рекомендуют автоматизировать управление учетными записями, внедрить двухфакторную аутентификацию для подключения к корпоративному VPN и передавать данные о подключениях в SIEM.
Читайте также
