Аналитики раскрыли сложную цепочку вредоносных инструментов на Rust, используемых группировкой Shedding Zmiy

Первым звеном в цепочке выступает утилита Octopus. Этот инструмент командной строки предназначен для автоматического повышения привилегий в системе. Octopus использует два основных метода. Во-первых, он содержит встроенные эксплойты для нескольких известных уязвимостей, таких как CVE-2021-4034 (PwnKit) и CVE-2023-4911 (Looney Tunables). При этом утилита самостоятельно определяет, какая именно уязвимость применима к целевой системе, сверяя версии пакетов со своей внутренней базой данных. Во-вторых, Octopus анализирует систему на наличие исполняемых файлов с установленными привилегиями SUID или capabilities. Затем он проверяет, можно ли использовать эти файлы для эскалации привилегий, сверяясь с интегрированной базой данных GTFO (GTFOBins), которая содержит готовые команды для обхода ограничений.

После получения прав суперпользователя Octopus реализует функцию закрепления. Ключевой механизм заключается в патчинге системных исполняемых файлов, таких как "sshd", "nginx" или "cron". Утилита не заменяет файлы, а модифицирует их, добавляя в ELF-структуру зависимость от вредоносной библиотеки. Эта библиотека, называемая Leech, загружается процессом раньше всех остальных, что позволяет перехватывать вызовы функций. Для маскировки Octopus размещает файлы библиотек в директории с системной glibc, подделывает их временные метки и атрибуты SELinux, а также исправляет контрольные суммы пакетов в системах на основе Debian, чтобы скрыть изменения от средств проверки целостности.

Вторым компонентом является собственно Leech, представляющий собой вредоносную библиотеку. Существует две её основные версии: basic-lib, отвечающая за поддержание заражения и повторный патчинг исправленных сервисов, и network-lib, которая добавляет возможность скрытого сетевого взаимодействия. Network-lib перехватывает входящие соединения к зараженному сервису. Для инициации сессии злоумышленник отправляет на стандартный порт сервиса специально сформированный пакет TLS 1.3 Client Hello. Полезная нагрузка (payload) скрыта внутри TLS-расширения типа GREASE, что делает трафик менее подозрительным. Одной из команд, которую может выполнить Leech, является запуск третьего компонента - Mycelium.

Инструмент Mycelium представляет собой полнофункциональный бэкдор для постэксплуатации, также написанный на Rust. Он работает как асинхронное приложение и может функционировать в пассивном или активном режиме, самостоятельно подключаясь к серверу управления. Mycelium предоставляет злоумышленнику веб-API (сервис h2mx) с широким набором функций. Через него можно выполнять произвольные команды в оболочке nushell, исследовать файловую систему, скачивать и загружать файлы, проводить сканирование сети и получать детальную информацию о системе. Для управления несколькими экземплярами в одной системе Mycelium использует механизм конкуренции через локальный сокет, где побеждает процесс с наибольшей версией.

Интересно, что Mycelium также интегрирован с другими инструментами группировки. Он предоставляет сервисы "rsh" и "yamux-proxy", которые используются бэкдором Bulldog, также ассоциируемым с Shedding Zmiy. Это создает единую экосистему, где новые инструменты дополняют и расширяют возможности старых. Стоит отметить, что для снижения заметности Mycelium маскируется под системный процесс, например, копируя имя службы проверки целостности ядра.

Эксперты подчеркивают, что выбор языка Rust для разработки этих инструментов не случаен. Этот язык усложняет статический анализ и позволяет создавать эффективные, сложно обнаруживаемые вредоносы. Основная техника атаки сместилась от прямой подмены системных файлов к паразитированию на легитимных процессах и сокрытию вредоносного трафика в потоке легальных сервисов. Для защиты от подобных угроз специалистам DFIR (Digital Forensics and Incident Response) необходимо обращать внимание на аномалии в метаданных файлов, несоответствия контрольных сумм и подозрительные сетевые подключения, инициируемые стандартными системными сервисами.

MD5

• 00e6c33906e956aa744a928f19d858cf
• 033b37b9ef83dd94f7c24591a666e5cd
• 0c020fe0267b97f456097c654d87bfc3
• 31afd8acd7a11de4c3d811a3f501443f
• 32fd0405eb5c5b1ac2a889d2a7831506
• 4037db8b3f1f51eedcd83a0d00777182
• 7c28de099682b375d1419ce28d27e4b4
• 864ee7604990860e0959e118e3197a96
• acf519e0d60a973491a5ed9ba9599353
• b67ea0808bd7928608a7a7b84f912271
• e30f45a6de01a95928046785cd29b620

SHA1

• 05245a5aff54c598adef5e67d8dccd8b19401c60
• 10172b59abf695bd6fc4b7469b39ba2e96564571
• 13bcb2739dedc42bca8c8e1a761385c111b14d7c
• 3f5d0bc0c7b8acacc614763179f810f29ab6fe48
• 5d7fdb73e1038d722e7d07c3c9d4c9163672662a
• 69fd4dde66052af6f56afa74c0a059f427515520
• 8c2e474e2b7ae077c341f1e0a2d2ae6190effb01
• 9aa649623ca2c7c190ce66d0526e5830b08bbd50
• c84b601193c61b41fb7b86db1d2aeecf97f8bca9
• d508ea3450883e44cf56e83e9a8ab352378ba4f0
• dd9e05ae3f7240e91d6212d98f0405b396091d5e

SHA1

• 21eba25e3090d8ad943fd5371da3e6598c486b67571f0b75fc910c6aec8edde1
• 29194e0d1464211b92cef881c6b5decd6cc353fb791715448bc1d2705e711edb
• 5535ec963580b36561293c9bff918dee4c6c8438abd7a76a31925f4245bcd65c
• 57d42999aa0010a0c2c96076ff5097bf48bd487949733a15242bdd58d2f3553b
• 6491be745661f1d1f01eaf9d5c4f15dbc494c81ca11d2ea04aeddf7b8b0d0314
• 82581c8043ac12ef3e5c35572759fb494775aff210b060ebd7492d3134b25024
• 8b43430136fcc9ef43f201febddbdd608cfebd25c611c13a146a66883b0f201e
• ad79af28fb9a5086dde3c071c32ff1fe9eae934c6edd1da88776fe6d41c201e1
• dd7b95d9e2a8317d3f7f6480b30677d95aa5398ee4dab56e55b34f1c36bad5f3
• e890107ebb7086f992d41fa739a572644a98edf1da6421fa76abb78b721d4059
• e9b89ae1cf3c7263cfcd4c56ce826565fa619b1a5f867d2a139f84d19bc921a3