Атака на медицинскую организацию: устаревшие VPN-аккаунты полгода открывали путь для цифрового шпионажа

Инцидент начался в апреле 2025 года, когда атакующие получили первоначальный доступ к инфраструктуре через корпоративный VPN-сервер. Вместо использования сложных эксплойтов или нулевых уязвимостей, злоумышленники воспользовались старыми, но всё ещё активными учётными записями сотрудников, которые покинули организацию. Эти "мёртвые души" в системе, не отозванные вовремя, стали идеальной точкой входа. После успешного подключения к VPN злоумышленники скомпрометировали сервер СУБД PostgreSQL, где для стандартной учётной записи был установлен ненадёжный пароль. Используя легитимные функции базы данных для выполнения произвольных команд, они закрепились в системе, разместив утилиту gs-netcat для создания скрытого канала связи.

В течение нескольких дней, используя инструмент Megatsune Rootkit (из семейства Kitsune Rootkit), обладающий функционалом для сбора паролей и SSH-ключей, группа получила множество привилегированных учётных данных, включая root-доступ. Это открыло возможности для активного бокового перемещения по сети. Любопытно, что даже после заражения множества систем бэкдорами, атакующие долгое время продолжали подключаться напрямую через VPN, используя украденные логины и пароли, что могло маскировать их деятельность под легитимные действия.

В процессе расследования специалисты [обнаружили] целый спектр вредоносных инструментов, характерных для Shedding Zmiy. Среди них был обновлённый бэкдор Bulldog Backdoor версии 1.7.6. Анализ показал значительную переработку его кодовой базы и появление новых функций, свидетельствующих о расширении тактики группы. Ключевыми нововведениями стали команды для создания скриншотов (take-screenshot) и экспорта данных из SQL-баз (sql-export), что прямо указывает на шпионские, а не разрушительные цели атаки. Кроме того, в модуле сбора данных (collector) появилась функциональность для кражи паролей из браузеров Firefox и Chromium, а в коде встречаются отсылки к macOS, что может говорить о подготовке к атакам на устройства Apple.

Несмотря на масштаб заражения, внутренние команды реагирования организации несколько раз предпринимали попытки очистки систем. Ретроспективный анализ показал следы удаления вредоносных файлов с их последующим возвращением. Однако эти действия были тщетны, так как источник угрозы - скомпрометированный VPN-сервер - оставался необнаруженным. Глубина журналов на самом VPN-сервере составляла лишь несколько дней, что сделало ретроспективный анализ крайне сложным. Критической проблемой стало и то, что личные устройства уволенных сотрудников, с которых, вероятно, и происходил доступ, к моменту расследования были недоступны для изучения, а причина их компрометации (возможно, фишинг) так и не была установлена.

Этот случай наглядно демонстрирует, как устаревшие процессы управления идентификацией сводят на нет усилия по безопасности. Атакующие группы вроде Shedding Zmiy активно ищут такие слабые места - неотозванные учётные записи, сервисы со слабыми паролями, недостаточное логирование. Их инструменты эволюционируют, становясь более модульными и незаметными, а фокус смещается в сторону тихого сбора конфиденциальной информации, включая данные из браузеров и баз данных. Для организаций, особенно в чувствительных отраслях вроде здравоохранения, инцидент служит жёстким напоминанием о необходимости автоматизированного управления жизненным циклом учётных записей, обязательном использовании многофакторной аутентификации для VPN и обеспечении глубокого и долгосрочного логирования ключевых точек входа в корпоративную сеть. Без этих фундаментальных мер даже самое современное антивирусное ПО может оказаться бесполезным против целевого и терпеливого противника.

IPv4

• 103.71.23.102

Domains

• hexa10.biz
• leo.jruby33.xyz
• ocelot.jruby33.xyz
• sm4l1pp.online
• tiger.jruby33.xyz
• xy7ozq.info

MD5

• 2ab8ac9ec5f3f91a76b237dd83c5469c
• 5d5490f1b2267828c805b64c749de112
• 5feb756bf7ab578722c560195bf7d411
• 840b15a948408a9fa1ee79b4516b7165
• 893119b113d6952a11478efce099016c
• f0e80499bcae7a4c83f5c3154ea7ae14

SHA1

• 053dbf9a056de6a1cc5ef8b9881c0784c08646c7
• 095463a681936cbba36aa9419ab8ad8c37f3cb47
• 2ec0d066ad47d13caa78e758859f405970ad4718
• a7476d92a215dc680d211ee4428acfd427aa86d3
• d4556652349c6fab16059da161a955d1a7dd5ad0
• ffb950627de389a9e6193e7178a369ee578f7054

SHA256

• 9483d721e395c512715f41a8d4ea46dd3489b0784cc7a27bf0de2e2735235262
• b5393f6e9519590d1b3e69401f4cf7482ecd058c6d6c7d660f6ebdd8042a947a
• cd89d661c1a3f2d7b199993732d814e5c5780e4bd4ac31f75e68430d46804999
• d7747a46f61867688b86eb7f04668cb8c4131f47471122a4c8ef6ea3d507b974
• dd7acc09dcf30d50311623459a2d543fddb789e7e5cc829caff411cc2b1532fe
• ff003528ae7775cd482fa43a6b96f6121feff7d40a75bb6f3cb66dd4370bde67