C2, Go и Jungle Map: что скрывает бэкдор с интерфейсом мечты.
В ходе исследования инфраструктуры проукраинской хакерской группировки Shedding Zmiy специалисты Solar 4Rays открытый доступ к веб-панели, связанной с вредоносным ПО Bulldog Backdoor. Панель развернута на одном из C2-серверов и представляет собой современное React-приложение, предназначенное для централизованного управления заражёнными системами.
Bulldog Backdoor — кастомный кроссплатформенный имплант, написанный на Go и активно используемый Shedding Zmiy с 2024 года. Его функциональность выходит далеко за рамки типичных возможностей бэкдоров: он поддерживает сбор данных, выполнение команд, перебор паролей и построение карты заражённой инфраструктуры.
Веб-панель версии 0.1.15 агрегирует все данные из вредоносных кампаний, позволяет генерировать новые импланты, управлять активными сессиями, а также отображать визуальную карту заражённой сети. Пользовательский интерфейс, реализованный на React.js, предоставляет операторам удобные средства координации атак, включая отложенные команды и расширенное управление целями и хостами.
Интерес вызывает структура ролей: от обычного оператора до администратора с правами управления пользователями, токенами и клиентами. Каждый пользователь получает JWT-токен и работает в рамках выделенной команды. Однако, по данным специалистов, Shedding Zmiy часто используют один и тот же client_id во всех атаках.
Панель поддерживает более десяти видов имплантов, включая beacon, revshell, dd-proxy и другие. Некоторые из них — например, gecko и puma — уже ранее упоминались в исследованиях, а типы вроде mycelium или mushroom пока не описаны в открытых источниках. Импланты можно собирать прямо из панели с заданными параметрами архитектуры, ОС и логирования.
Модуль визуализации Jungle map показывает инфраструктуру жертвы в виде графа с типами хостов, связями между процессами и возможностями анализа. Есть также средства управления сессиями, включая генерацию connection string для подключения к удалённым хостам.
Каждой цели можно присваивать заметки, связанные с отдельными хостами, вести учёт учётных данных и команд. Панель отслеживает активность операторов и поддерживает экспорт собранных данных. Также реализован доступ к логам, патченым бинарным файлам и результатам команд impant'ов.
Отдельное внимание уделено системе прав доступа, разделению по ролям и возможности обновления конфигураций имплантов в реальном времени. Такая организация делает веб-панель не просто интерфейсом, а полноценным командным центром.
По мнению исследователей, структура и интерфейс панели свидетельствуют о высоком уровне организации Shedding Zmiy. Злоумышленники не только создают кастомные инструменты, но и активно следят за их работоспособностью, минимизируя риски и контролируя множество операций в параллельном режиме.
Подробнее:
В ходе исследования инфраструктуры проукраинской хакерской группировки Shedding Zmiy специалисты Solar 4Rays открытый доступ к веб-панели, связанной с вредоносным ПО Bulldog Backdoor. Панель развернута на одном из C2-серверов и представляет собой современное React-приложение, предназначенное для централизованного управления заражёнными системами.
Bulldog Backdoor — кастомный кроссплатформенный имплант, написанный на Go и активно используемый Shedding Zmiy с 2024 года. Его функциональность выходит далеко за рамки типичных возможностей бэкдоров: он поддерживает сбор данных, выполнение команд, перебор паролей и построение карты заражённой инфраструктуры.
Веб-панель версии 0.1.15 агрегирует все данные из вредоносных кампаний, позволяет генерировать новые импланты, управлять активными сессиями, а также отображать визуальную карту заражённой сети. Пользовательский интерфейс, реализованный на React.js, предоставляет операторам удобные средства координации атак, включая отложенные команды и расширенное управление целями и хостами.
Интерес вызывает структура ролей: от обычного оператора до администратора с правами управления пользователями, токенами и клиентами. Каждый пользователь получает JWT-токен и работает в рамках выделенной команды. Однако, по данным специалистов, Shedding Zmiy часто используют один и тот же client_id во всех атаках.
Панель поддерживает более десяти видов имплантов, включая beacon, revshell, dd-proxy и другие. Некоторые из них — например, gecko и puma — уже ранее упоминались в исследованиях, а типы вроде mycelium или mushroom пока не описаны в открытых источниках. Импланты можно собирать прямо из панели с заданными параметрами архитектуры, ОС и логирования.
Модуль визуализации Jungle map показывает инфраструктуру жертвы в виде графа с типами хостов, связями между процессами и возможностями анализа. Есть также средства управления сессиями, включая генерацию connection string для подключения к удалённым хостам.
Каждой цели можно присваивать заметки, связанные с отдельными хостами, вести учёт учётных данных и команд. Панель отслеживает активность операторов и поддерживает экспорт собранных данных. Также реализован доступ к логам, патченым бинарным файлам и результатам команд impant'ов.
Отдельное внимание уделено системе прав доступа, разделению по ролям и возможности обновления конфигураций имплантов в реальном времени. Такая организация делает веб-панель не просто интерфейсом, а полноценным командным центром.
По мнению исследователей, структура и интерфейс панели свидетельствуют о высоком уровне организации Shedding Zmiy. Злоумышленники не только создают кастомные инструменты, но и активно следят за их работоспособностью, минимизируя риски и контролируя множество операций в параллельном режиме.
Подробнее:
