亲乌黑客组织Shedding Zmiy网络作战平台解析

俄罗斯Solar 4RAYS安全研究人员4月21日的研究报告披露，亲乌克兰黑客组织"Shedding Zmiy"构建了一套高度成熟的网络作战平台，其核心为基于Golang开发的Bulldog Backdoor跨平台恶意软件。该平台采用React.js构建可视化控制面板（版本0.1.15），支持生成十余种定制化植入物（如Gecko、Cougar），并集成自动化渗透、数据窃取及网络测绘功能。平台通过JWT令牌实现多级权限管理，操作员可借助"丛林地图"模块动态可视化受感染网络拓扑，标记高价值目标，并预设延迟指令以规避行为检测。攻击链滥用Google Sheets、Cloudflare等合法云服务进行隐蔽通信，植入物内置反沙箱机制与环境感知功能。技术分析显示，攻击者采用"Client_ID"统一标识攻击活动，但重复使用同一标识可能暴露攻击关联性。防御方面，建议企业监控异常WebSocket流量与云服务交互，部署终端行为分析捕捉进程注入行为，并通过威胁情报共享阻断C2基础设施。该平台反映了网络攻击的工业化趋势，其模块化设计、协同作战能力及隐蔽性对医疗、制造业等关键行业构成严重威胁。

一、平台架构与核心技术

"Shedding Zmiy"组织构建的网络作战平台以Bulldog Backdoor为核心组件。该恶意软件采用Golang语言编写，自2024年起被频繁用于攻击活动，具备跨平台兼容性（支持Windows、Linux和macOS系统）。平台架构分为三个主要部分：

前端控制面板：基于React.js框架开发，版本号为0.1.15，提供交互式图形界面。面板部署于C2服务器，操作员可通过Web浏览器远程访问，实现攻击任务的集中管理。

后端服务：负责与植入物（如Bulldog Backdoor）的通信，支持数据聚合、指令下发及日志存储。研究人员发现，攻击者滥用Google Sheets和受Cloudflare保护的端点作为C2通信中转，以规避传统流量检测。

权限与协作系统：采用JWT（JSON Web Token）实现多级角色权限控制，包括普通操作员和管理员。管理员可管理用户权限、生成访问令牌，并为不同团队分配独立的工作空间。值得注意的是，尽管支持多团队协作，但攻击者在所有活动中重复使用相同的client_id标识，可能暴露攻击关联性。

二、核心功能与作战能力

一是植入物生成与管理；

平台支持生成十多种类型的恶意植入物，包括已知的Bulldog Backdoor（基础后门）、Gecko（持久化工具）、Cougar（横向移动模块），以及未公开详细功能的Mycelium（菌丝体）和Mushroom（蘑菇）。

每种植入物均可定制化配置，操作员可指定目标操作系统（如Windows 10/11）、处理器架构（x86/ARM），并嵌入反检测参数（如沙箱逃逸代码）。生成后的植入物可直接从面板下载，并通过钓鱼邮件或漏洞利用链投递至目标系统。

二是实时作战指挥与可视化；

丛林地图模块：通过动态图表展示受感染网络的拓扑结构，标记主机类型（如数据库服务器、员工终端）、进程依赖关系及已窃取的凭证位置。此功能帮助攻击者快速识别高价值目标（如财务系统或客户数据库）。

延迟指令系统：允许操作员预设命令执行时间，模拟正常用户的作息规律（如仅在目标时区的工作时段活动），规避基于行为分析的安全检测。

自动化横向渗透：内置密码爆破模块，可自动尝试利用窃取的凭证访问内网其他设备。例如，若从某台主机获取了域管理员哈希，平台会自动生成针对域控制器的攻击任务。

三是数据管理与协同作战；

结构化数据存储：收集的敏感数据（如数据库转储、SSH密钥、邮件存档）按目标组织分类存储，支持导出为CSV或JSON格式。面板还保留所有操作日志，包括命令执行结果和二进制文件修改记录。

注释与协作系统：操作员可为每个目标添加Markdown格式的注释，记录渗透路径、漏洞利用点或防御规避技巧。例如，标注“主机A：已部署Gecko，需绕过EDR监控”。这些注释在团队内共享，提升攻击效率。

三、技术特点与对抗策略

一是高度模块化设计；

Bulldog Backdoor并非单一恶意软件，而是一个可扩展框架。攻击者可通过面板动态加载功能模块（如截图捕获、键盘记录），无需重新部署植入物。

植入物与C2的通信协议支持自定义加密算法，且每次任务使用的密钥均独立生成，增加流量解密难度。

二是隐蔽通信与反检测机制；

合法服务滥用：部分C2流量伪装成Google Sheets API请求或Cloudflare CDN流量，混合于正常业务数据中，逃避基于IP/Domain的黑名单拦截。

环境感知：植入物在首次运行时检测虚拟机环境（如VMware、VirtualBox）、沙箱工具进程及系统资源使用情况（如CPU核心数、内存容量）。若发现异常，则终止恶意行为或释放无害载荷。

三是组织化运营模式。

攻击团队采用严格的“开发-运营分离”策略。开发人员负责维护植入物代码库和面板功能迭代，而一线操作员仅通过界面执行任务，无法访问底层代码，降低技术泄露风险。

平台内嵌“操作手册”，提供标准化攻击流程指南。例如，针对医疗行业的入侵需优先窃取患者数据库，而针对制造业则侧重工控系统访问。

四、防御建议与应对措施

威胁检测优化

监控内部网络的异常WebSocket连接（尤其是与Google Sheets、Cloudflare服务的非业务交互），部署网络流量分析工具（如Zeek）识别加密信道中的心跳包特征。

在终端部署行为分析引擎，捕捉可疑的进程注入（如Bulldog利用合法进程加载恶意DLL）或横向移动行为（如短时间内多次尝试SMB登录）。

攻击面收缩

禁用不必要的网络服务（如RDP、SMB），对关键系统实施网络分段，限制横向移动可能性。

定期更新第三方软件（如Adobe Reader、Webex），修补已知漏洞，阻断钓鱼邮件中恶意文档的利用链。

威胁情报协同

共享IoC（如C2服务器IP、植入物哈希）至行业信息共享平台（如MITRE ATT&CK），联动封锁攻击基础设施。

分析泄露的JWT令牌格式与client_id模式，构建攻击指纹库，辅助溯源追踪。

五、总结

"Shedding Zmiy"组织的网络作战平台体现了网络攻击的工业化趋势。其通过React面板实现攻击流程标准化，利用Golang跨平台特性扩大攻击范围，并借助云服务隐匿行踪。尽管平台功能复杂，但其重复使用client_id、依赖公开云服务等做法仍为防御方提供了突破口。未来，防御需聚焦于行为分析、威胁情报整合及基础设施加固，以应对此类高阶威胁。

附原文报告中文机译版下载

https://airportal.top/85990701/XlbGZjKMPk 

参考资源

1、https://www.securitylab.ru/news/558586.php

2、https://rt-solar.ru/solar-4rays/blog/5478/?utm_source=Securitylabru

3、https://rt-solar.ru/solar-4rays/blog/4333/#8

2、https://rt-solar.ru/solar-4rays/blog/4440/