Эксперты центра исследования киберугроз Solar 4RAYS изучили атаку проукраинской группировки Shedding Zmiy на российскую госорганизацию в сфере здравоохранения. Злоумышленники проникли в инфраструктуру через учётные записи бывших сотрудников на корпоративном VPN-сервере, которые не были своевременно удалены, и более шести месяцев похищали данные из внутренних баз.
Компрометация была обнаружена в конце 2025 года — зафиксированы подозрительные подключения к IP-адресам инструмента Gsocket. После анализа инфраструктуры эксперты выявили несколько десятков взломанных UNIX-систем. Закрепившись через VPN, хакеры скомпрометировали учётную запись сервера PostgreSQL с ненадёжным паролем, разместили утилиту gs-netcat для устойчивого доступа, а затем захватили учётные записи действующих сотрудников и начали распространяться по инфраструктуре.
В ходе расследования выявлен обновлённый инструментарий группировки, включая новую версию бэкдора Bulldog и расширенный модуль стилера — он похищает данные из браузеров, делает скриншоты экранов и, судя по командам, способен атаковать не только Windows и UNIX, но и устройства на macOS. По наблюдениям Solar 4RAYS, в 2025 году Shedding Zmiy заметно снизила активность — вероятно, для обновления инструментария, — что делает группировку серьёзной актуальной угрозой.
По итогам расследования эксперты рекомендуют: автоматизировать управление учётными записями и своевременно выводить их из эксплуатации с помощью IdM-решений, подключаться к корпоративным VPN только с двухфакторной аутентификацией, а все данные о VPN-подключениях сохранять в SIEM.