Начиная с 2020 года специалисты компании F.A.C.C.T. отслеживают атаки злоумышленника VasyGrek, нацеленного на российские компании как минимум с 2016 года. В качестве первоначального вектора атак VasyGrek использует электронные письма, отправленные якобы от имени бухгалтерии на финансовые темы: «Акт Сверки», «Платежное поручение», «1C».
В своих многочисленных атаках VasyGrek использует инфицированные модификации легитимных инструментов удаленного управления системой — RMS (Remote Utilities), вредоносное ПО разработчика PureCoder (PureCrypter, PureLogs и т.д.), а также другое доступное для покупки в публичном пространстве ВПО, такое как MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и т.д.
В марте 2024 года об активности злоумышленника VasyGrek рассказали специалисты из компании BI.ZONE, используя название Fluffy Wolf для данного кластера активности, однако многое еще осталось за кадром.
В новом блоге специалисты компании F.A.C.C.T. рассказывают о текущих угрозах для российских компаний от злоумышленника VasyGrek, анализируют его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. Авторы описывают актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.
Таймлайн атак 2022–2024 г.
Представленный таймлайн отображает даты обнаруженных нами рассылок вредоносных писем, которые относятся к злоумышленнику VasyGrek.
Рис. 1 — Таймлайн атак злоумышленника VasyGrek за период 2022-2024 гг.Актуальная цепочка заражения VasyGrek в 2024Рис. 2 — Пример актуальной цепочки заражения злоумышленника VasyGrek
Цепочка заражения может иметь отличия в конкретных атаках. Для примера: в некоторых атаках вместо вложенного архива используется URL-адрес, при переходе по которому будет загружен архив. Также VasyGrek может использовать разное количество PureCrypter.Downloader, таким образом изменяя количество вредоносных инструментов, загружаемых на зараженную систему.
Ключевые находки
Разбор цепочки заражения злоумышленника VasyGrek, атакующего российские компании.
Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак.
Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns.
История разработчика ВПО Mr.Burns, начиная с 2010 года.
Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании.
По этическим соображениям мы не раскрываем в публичном исследовании персданные киберпреступников, но вся информация, собранная в ходе исследования, передана правоохранительным органам.
Все подробности — включая индикаторы компрометации и обзор техник на основе матрицы MITRE ATT&CK — в новом блоге.
Источник: habr.com
