Главная страница » IOC
0
6 часов
IOC

Shedding Zmiy использовал руткит Puma для атаки на IT-компанию

security

В ноябре 2024 года специалисты Solar 4RAYS были вызваны для расследования инцидента в одной из IT-компаний. В ходе расследования выяснилось, что на связь выходили известные C2, принадлежащие группе Shedding Zmiy.

Описание

В ходе анализа Linux-систем эксперты обнаружили различные образцы вредоносного ПО, в том числе руткит Puma, о котором недавно писала компания Elastic Security Labs. Обнаруженные образцы вредоносного ПО позволили предположить, что IT-компания использовалась в качестве испытательного полигона.

Атакующие находились в инфраструктуре более полутора лет и не собирались покидать ее в ближайшее время. В ходе расследования также были обнаружены обновления руткита Puma на некоторых системах. Хотя Elastic Security Labs не смогла однозначно приписать руткит Shedding Zmiy, сочетание известных инструментов, используемых группой, позволило предположить, что это был новый инструмент, разработанный ими.

Руткит Puma - это сложный Linux-руткит уровня ядра, включающий в себя загрузчик, сам руткит и руткит пользовательского пространства Pumatsune, который является обновленной версией ранее известного руткита Kitsune. Puma может получать команды через хук команды rmdir и обладает различными возможностями, включая скрытие процессов, файлов и сетевых соединений, повышение привилегий и кражу конфиденциальных данных. Руткит использует механизм запуска без файлов для компонента Pumatsune, который отвечает за взаимодействие с командно-контрольным сервером, выполнение команд и утечку данных.

Помимо руткита Puma, Shedding Zmiy использовал и другие знакомые инструменты, такие как инструмент удаленного доступа gsocket и бэкдор Bulldog. В ходе расследования выяснилось, что руткит Puma был защищен путем замены легитимного cron-файла на загрузчик, имитирующий оригинал. В результате дальнейших исследований были обнаружены и проанализированы другие версии руткитов Puma и Pumatsune вплоть до февраля 2024 года.

Что касается самого инцидента, то самые ранние следы заражения были обнаружены в августе 2023 года, а массовое заражение систем началось в ноябре 2023 года. Атакующие использовали различные техники, включая создание сервисов, имитирующих легитимные потоки ядра, и модификацию системных утилит для скрытия следов работы инструмента gsocket. В системах также были обнаружены руткит Megatsune и бэкдор Bulldog.

В целом расследование позволило выявить масштабы арсенала группы Shedding Zmiy, включая руткит Puma и другие связанные с ним инструменты. По результатам расследования были даны рекомендации по обнаружению и нейтрализации руткитов.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. MD5
  4. SHA1
  5. SHA256

IPv4

  • 168.100.9.214
  • 176.124.192.152
  • 176.124.192.230
  • 45.87.246.5
  • 89.23.113.204
  • 89.23.113.59

Domains

  • amd64.rpm-bin.link
  • ccdertsfrp1.wris.monster
  • cckitsfrp1.n3x1lo.pro
  • cddcvesfhfp1.wris.monster
  • cnhgenfhfp2.wris.monster
  • deefveskiip2.wris.monster
  • edfrg2r1aa.dylibm.homes
  • edfrg2r2bb.dylibm.homes
  • juiyhg2p1cc.dylibm.homes
  • leo.jython27.xyz
  • m0g1ck.beauty
  • ocelot.jython27.xyz
  • pkg.dpkg-source.info
  • qdkitsorp2.n3x1lo.pro
  • qdprtsorp2.wris.monster
  • qxpngendvvp1.wris.monster
  • rhel.opsecurity1.art
  • sec.opsecurity1.art
  • sm4l1pp.online
  • tiger.jython27.xyz
  • tramways.xyz

MD5

  • 02cb8d5c25eef9f24f1137c367175ee4
  • 04a79d1b46953a94a4705e66f633c115
  • 052cd6faa775317030d0300087995bc3
  • 07128b9ad7c3b9124ae33618fda01d6d
  • 0eb642e34012b3ec00ff36ed9bafb959
  • 13f6788e38d8854e3f8ef8a586c5dccb
  • 158afa2ed5ba7de6946562419ddca4a9
  • 179cc887b8f36d09c0ea342e089839cd
  • 237e42a872bb35406ad37b8a6d63906f
  • 23f14ac8474b16ac033477653d88e42f
  • 27b8e293c88d007d45bd1c9cdad0cc44
  • 2a1a49719f748daaf20bb3b4fd909b43
  • 2c33b3f6ad3fc93405c2aa305023773f
  • 2c34dd84ce5c720bc8ee15f77ca474ea
  • 336de312c267db96534dfa949bf365f5
  • 418b0aa71db25e47446f1d5f73320bd0
  • 43cc7821de620f75ce1000780d0b2294
  • 4bb908dcc60d8e6c494b95daeb985e46
  • 50466c4f8b923bddf101bfba753a7ca2
  • 63a54282ea7beb5948665f8ce501d03b
  • 6d1e90107c996328ebb15293f0014903
  • 756aba7aa96990b39683cfe3a188ca82
  • 759083836561b5d405b4937a5b5360f4
  • 75ed5575bf7d93beaff8788b69da7fb1
  • 7650ae541cbac33b34a9786b0481d628
  • 767e591f06018323fb3d7332f31e54ff
  • 7c59a35b815050421319746de2e3970b
  • 7f6961556e33ffdc8cbb3497101b58f0
  • 80330ee9c540ed0d001f1419be251638
  • 833647d080f00e841efa705255466e28
  • 872476eb903f76065028ea7ba65e25ef
  • 895bcf3c5160c5a016addcc049f0877a
  • 89bb5b4436fbc6695e0586450363a753
  • 983a7d60e3303831623a0d4385fe5125
  • 9a179de6c53417e8f82b479455cf6c28
  • 9dfd2a066223c4ed5c1e484619f495c0
  • 9e438793420d1ff37c095d2524c6d8f3
  • a8a7932df2ded22bcf87b848ed2f09b9
  • ae90522065f5b7d5e82adc4280043e37
  • b3174394434523a1d7a877434706e301
  • ba16a44bde866871f667eb58945c9c3b
  • bd2f78ed6c43af6d3fef9bcae92443ef
  • beeabdefdca013738561d736a355de1c
  • c61a3cad0beabde867347bf6ee9ab6f3
  • c7e1846aa38769b093f89716dc681beb
  • cccfcca0ab1fed438447ada7c92e734d
  • ceef277d9a5ee3fe5957b3e9a8e95e3b
  • cf493672d8e9443ac43cffd16707b08b
  • d081323cf5aaf6d5efae1185efb55f2a
  • de4fb0d9198c834428a7b766cf90a96c
  • e380b9e5ffc4b688d5f39503aa92dbae
  • eabec19c2f7e6b6057cd8759f8d9bf65
  • f38704d1350a890fb6141678f9e7fb20
  • f69f43380efc4ccb5ce7e1a7e9cd16fc
  • fb8aadf3799e9f54a427e5360afc0155
  • fdf4add35f92a1367ec82f4048740d61

SHA1

  • 0495eed74cf6c6be1684c3bc5b5671762c4305ca
  • 0b1ced4fbbbb4397b3585d2ca6e0c58b26b905ce
  • 0bcb0681e9dc3ed2b10cb04345dc0af6b089b2b4
  • 113c5f44318c230e9b913eb46592bdb4d3976b12
  • 1165cb4066f488c67508a4d7b33b565e7c4a451a
  • 188fcd6f3f8ebb363b14c195f3665f6359bd55fb
  • 1e47a07950e8b82b18d022fec3143f57f480b4f2
  • 1f5b3bc8b4f8ee232ea53fdc5f1e5f476a196d9b
  • 211e5efd98e9ae676ad106e5af467134b88718a8
  • 2a56b537a1d86860d2940f6509aef30f4bed0570
  • 2ddd44ca9be95c7c0fb362a1b3d2905b6fe143b5
  • 321d785116a2de162d482fd54070022c429cec8b
  • 36807462e70c0c450506eea7c36bfde14f37f5f4
  • 3b03e71d6e218b9ac533e4a769f3b0a1671420fa
  • 3b37fcd90caf6f77adf63cb43707821f138b5862
  • 42e8a02ee3fbdc41da81680f367621baec4e5b79
  • 45c0a1e338a3d3f380ebcca4c696d10e3e2897c3
  • 4768230b1eb77231e299a006f801a33b0c2e0c6a
  • 48377d5bd98f3fe41820cfc9114af22da7fc271a
  • 4d455bd037685acc652f626bbe4c38e44ea3aab2
  • 4e609d6bae367e3cd0bcd798e4cb83b3b8bc2577
  • 59a4a83b22fd7a0428576a29c6d8c4bd68a498dc
  • 5cc5b7dee574df0e5f96e21c8c20369a9533f80b
  • 5d3489caf91e329e0741b4d4f0888156b3feccf7
  • 5fc3344e4f8fbe944d4028038a34bc2cd8a9e212
  • 60493f4f147d063d6509d0605b76ff7ed44aee4f
  • 614249d4af3489fd3a5d322ca8a7440266633f05
  • 69cb1a5f457bc92db4deee100d28160b35b174e0
  • 6f8a453273d3a514d4592750d0e2318a960b637c
  • 72d36348991c837aa608a7f1c01260cd9845897b
  • 7dd3b34a8c9fcdabce08ecf3b7128bf088760c29
  • 7ea6dad563b887813b823703709b319fdd22e357
  • 85133b3f0ed8c1879bc92ce4ea8de98fd6df0e3f
  • 8cca8a970afb65e36c1da134f98ac4acd3a126ca
  • 8cee0ab27878f6aad7401041634b3ba2703d393c
  • 96773eb0da2f1cb6acad724384d7bea4f6bcc4f4
  • 98441981e297928c4f9652511aef324ffa8f36b3
  • a0157028039122991cc4c84a2e57616f57d83a31
  • a8c8c0b06d957112974d99dc1afe26207a19d4d7
  • ac337a0f3a7a34a86844a3bc1d2ec5a246f20ecc
  • b00cfe01fec37dfdec84b8ea0ec240defed4cebd
  • b2b485f5f2c52c1eeec9e4464670887ce6219b9c
  • bb78cad91395b208ff1ee78bd1df643a5a55eaf6
  • c2f586a9d2d7ecc8dd57514a1a3605be08b9fb64
  • cc007d94bbef29e935b45397401d2326ba012964
  • cecd2d1a94e61afd1bb2662763716408f2509d94
  • cfaf6554aea68cc107edb7fee927a946aec1d8e7
  • cfec5d9eeffe72c5545594fe0aa8cc4ab2e9e008
  • d8017f65f8cd3c5fba7d1e179f0d87cc883b4905
  • d84e959417f848d4962da27e336511bdbf110b75
  • e2cd2303b75e4d921d170c21aabee83625b4f544
  • e495a0795b2221cb94ae67969ad4cfc0aa8a441b
  • ee2bc685f250d7ca604e789a70490d669d6e7a76
  • f1521b8f9c66cf86843194c02354ce429159e775
  • f33dd30ae8c44ed149ab9d01d602bb755472962f
  • f3eed8d4a478c9e30a25a8708e391fc5776f98ef

SHA256

  • 0266bc719241f4e475987d0e5feef31f88df74c3a879bb704f19fa918c02999c
  • 0518a2f4aaf2d5f82514ced478381a4dd3353be7dc96c3ec9c62eb283a3bea09
  • 0aed89abb0a34db7ac0a1b9b6eb3f1bfd4d2193a6017246d3b6324529a2bf5ab
  • 0e7e5fba460da9ad628816bd64529a4f68d8ce63ea4fd9ce12456546573490ed
  • 13ab61d1456097e874a939ff3360efce6c360d7c5b9e607b8f5c5852ed126b87
  • 280a14384bede3d7795028caba466055d76610f398785da10871a092da348717
  • 293e1c2fef7992bb07abec6645619ec3ce2ea74cd81e37076409a295b6e32734
  • 2c00ff2a7fd1ea6055aef8ae86c406dfa6f76f948c123920d18b93bbe0a32b8e
  • 3034ff1b7ffcf2eaf1edb666b6aed69dbd51f46dc28d9abb7ff5c2768ccd1823
  • 389febbf2712ff9d88c1cab15ce6971f8ad724f59ce4b9788c8695872d7bba11
  • 38a189981b9bf1348d8f02bc132d82c2fd629bc56d054be7b239b1cf7a3b3c6f
  • 3f55c8c78be4966df390bb74d7296f449348cc607727facaf8abaad18a641cca
  • 4c8666ecd657df0a1be250a4706c8eabcc7a2ac7356e721a8ab91b8aa17042dd
  • 4e7e530551123af4c27862f84412528087b32edb581ce59b8f9e7efbcaa0309f
  • 4ef2fa24d4fab54468305eda5e5228bdaa141aff2e5956f9fd41096953c9d2ca
  • 596a85122ee9c4d361a45fd0ba67639e2b0d260b2d208bb4264326d09914f1d0
  • 5c67c677b4d9aaca810545060766f2be1242cd559fe81a0381e856aaf113b66a
  • 5e5142e683809d0abc0eaee270dd5da93f28fbc57205b62d8de09e3a64cfb160
  • 622750ec03effb24d914c4cf865ff8ace914aa42d849f9fd3fa4415ea62b97fb
  • 6705c354ac07ee23bd5de20b00450d2b0efd6fd18cff75b00417ac45905e3929
  • 68c3e3af3dec81275f07641f76f2aabe48340d35906014ac711c76710f85c081
  • 71603a5e29697fbb46bc546b2ea54a4edbbfc00426868bb5cde960c2a038b08c
  • 792b30e260eb54f092e4e405e2077b097b3576eb258edcb64f320e8f57ad6cd7
  • 792e9a44a865232f11dbfd87a32e276662d041451848196896bc6bd4298d5b5f
  • 7b3a5f8b5f7b2650aa532e9b6769fcdb322b3d81957843df8a6bd220fd2edf30
  • 83ba1f96668b81f117c329ae780637a56c172ba6cd057e0e1c9d462eb8ef44c2
  • 8535374d460fcd4ba7175f445bb78f09c0db01490f7b904e94807e38a1c4b1af
  • 85975ea32b8047af55fb24372e2937a9958dd38c508bfcbbcb51b9f2e4a2dbf4
  • 8b1bcb03b54998d9995e7492b07571963c393ae2c17ec5ff4a4ad94a89a66914
  • 99e177803bbf97a0e3da861f468f8604d8ac8c466de3d2abaffe3aed95f869e5
  • a658c6acd649f8633bbcab93f3215548a490487b3613d49fc6c4939ffd567362
  • add5ae18db5d3db54791516cc684fc78e05776edcbfa468c847245abb7e83fc3
  • b9ccfc0b531064d4ec336b5f80512ccd852e4e666dc75bdf5059d0f454fba2ba
  • bb63425eb43edf7c14563a7fe4c32307a572c0258d8ac013e6fee1ec21d348da
  • c0d3c30ad03e408fc09976637a4b497bda98b8f6ad815df46d61ad825e003c3d
  • c2262c0e7117c2e50509071be2231a6f487024b1e0615f8035345125cd5e2a13
  • cbce6ca1e4d974255b0ffb153cdc4c8716d84b11b26ddd34d127096b2870f3ef
  • d1a7d7b952976dd2642b0c4746a12b2937fb55b9d84bcf52502a18f9c8a93635
  • d68a18b028f5f7e2e1f87473c7e2aba0d12cb990236b30eb108bc2a7194a88bc
  • d7e2149e79914f6018d1aaebf346f52d150875b66e56ba1bf767d849885f5403
  • dd6c8861f706342e3ef7f1e8344c24b958e01a6e5b615d74dd9f16ca27e0d996
  • e5b7f38da062485d7e5c5adf8b40429ca919fd27bc5679f863ffef09a9aa7156
  • facb3afcf5019040f586e0c08a6d32bdc96c93237bf594ba36e90f9385114063
Комментарии: 0
Похожие записи
0
6 часов
IOC

Российские организации под прицелом: фишинговые письма с вредоносным ПО DarkWatchman RAT

security
Компания Solar 4RAYS, центр исследования киберугроз, выявила новую волну фишинговых атак в России с использованием вредоносной программы DarkWatchman RAT. Атаки, начавшиеся в середине февраля, продолжаются в течение марта.
0
6 часов
IOC

Червь Shuckworm нацелен на иностранную военную миссию, расположенную в Украине

security
Группа Shuckworm, продолжает свои атаки на правительственные и оборонные организации Украины. В новой кампании, начавшейся в 2025 году, они нацелились на военную миссию западной страны, расположенную на востоке Европы.
0
1 день
IOC

Российская инфраструктура играет важную роль в киберпреступных операциях Северной Кореи

security
Компания Trend Research обнаружила, что некоторые киберпреступные операции, связанные с Северной Кореей, происходят из пяти российских IP-адресов. Эти IP-адреса скрываются с использованием анонимизационной