Одна из наиболее активных проукраинских хакерских групп Shedding Zmiy начала применять новое вредоносное ПО под названием Puma в своих атаках на Россию. Этот инструмент позволяет злоумышленникам тайно захватывать управление скомпрометированными системами, вести за ними наблюдение и при необходимости уничтожать их. При этом сложные механизмы маскировки усложняют обнаружение Puma. Об этом сообщил эксперт центра киберугроз Solar 4RAYS Константин Исаков.
Цель Puma заключается в захвате управления атакуемой системой. Благодаря сложным методам заражения системы, выявить присутствие Puma чрезвычайно сложно, отметил Исаков.
Началом расследования данного инцидента стали подозрительные запросы компьютеров компании к внешним серверам. Использование общедоступных индикаторов компрометации помогло выяснить, что эти серверы связаны с управлением Puma и принадлежат Shedding Zmiy.
В ходе анализа сети пострадавшей компании были обнаружены десять различных версий Puma, а также другие образцы вредоносных программ, связанных с Shedding Zmiy, включая известные группы gsocket и Bulldog Backdoor. Обнаруженный арсенал инструментов предоставлял киберпреступникам полный контроль над инфраструктурой жертвы. Если цель атаки не интересует группировку, они могут уничтожать её инфраструктуру, добавил Исаков.
По его словам, универсальность Puma, особенно способность незаметно загружать другие вредоносы в пораженные системы, делает Shedding Zmiy опасной по своему потенциалу. Основными задачами Shedding Zmiy являются кибершпионаж и атаки, нацеленные на ущерб российской инфраструктуре. Группировка постоянно меняет свои методы и инструменты, совершенствуя свои навыки. Исаков охарактеризовал Shedding Zmiy как «серьезную угрозу для российских компаний».
Как сообщалось ранее — Ученые сказали, когда Земле готовиться к следующему ледниковому периоду
