Распутываем змеиный клубок: по следам атак Shedding Zmei

В 2022 году мировая геополитическая обстановка накалилась до предела, что не могло не оказать влияния на активность крупнейших APT-группировок в регионе. Одна из ключевых группировок, известная команде Solar 4RAYS как Shedding Zmiy, не только участила свои операции против государственных организаций и их подрядчиков, оперирующих наиболее чувствительными данными, но и сменила приоритеты в своих атаках, переключившись с финансовой выгоды на шпионаж. С тех пор нам удалось отследить десятки различных атак группировки, в семи из которых мы принимали непосредственное участие в качестве экспертов, расследовавших инцидент. Арсенал Shedding Zmiy от атаки к атаке меняется порой до неузнаваемости: кастомные загрузчики, бэкдоры и веб-шеллы, ранее не встречавшиеся в публичном пространстве, использование в своей инфраструктуре скомпрометированных серверов, эксплуатация специфичных багов в — все это существенно усложняет атрибуцию их активности. Однако в ходе кропотливой работы нам удавалось раз за разом находить ключевые улики, в итоге мы собрали досье по всем исследованным операциям группировки. В нашем докладе мы расскажем историю атак Shedding Zmiy, заострив внимание на самых интересных моментах, укажем на следы, оставленные группировкой в изученных нами атаках, а также дадим рекомендации по защите от них и по обнаружению их активности. Геннадий Сазонов «Солар» Антон Каргин «Солар»