S.E.Book

Forwarded from SecAtor

Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.

На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.

Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.

Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.

Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.

Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.

Среди основных возможностей панели:

- генерация новых имплантов;

- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;

- передача команд развернутым имплантам;

- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;

- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;

- система сущностей с многоуровневой абстракцией;

- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;

- возможность создания заметок для целей и связанных с ними хостов.

Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.

Все подробности - в отчете.

rt-solar.ru

В арсеналах Shedding Zmiy: разбираем код веб-панели Bulldog Backdoor

www.tgoop.com/S_E_Book/5407

3.0K viewsApr 23 at 16:44

Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.

На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.

Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.

Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.

Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.

Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.

Среди основных возможностей панели:

- генерация новых имплантов;

- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;

- передача команд развернутым имплантам;

- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;

- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;

- система сущностей с многоуровневой абстракцией;

- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;

- возможность создания заметок для целей и связанных с ними хостов.

Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.

Все подробности - в отчете.

BY S.E.Book