Крепкая финансовая связь: эксперты F.A.C.C.T. вскрыли киберпреступников VasyGrek и Mr.Burns

Начиная с 2020 года специалисты компании F.A.C.C.T. отслеживают атаки злоумышленника VasyGrek, нацеленного на российские компании как минимум с 2016 года. В качестве первоначального вектора атак VasyGrek использует электронные письма, отправленные якобы от имени бухгалтерии на финансовые темы: «Акт Сверки», «Платежное поручение», «1C».

В своих многочисленных атаках VasyGrek использует инфицированные модификации легитимных инструментов удаленного управления системой — RMS (Remote Utilities), вредоносное ПО разработчика PureCoder (PureCrypter, PureLogs и т.д.), а также другое доступное для покупки в публичном пространстве ВПО, такое как MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и т.д.

В марте 2024 года об активности злоумышленника VasyGrek рассказали специалисты из компании BI.ZONE, используя название Fluffy Wolf для данного кластера активности, однако многое еще осталось за кадром.

В новом блоге специалисты компании F.A.C.C.T. рассказывают о текущих угрозах для российских компаний от злоумышленника VasyGrek, анализируют его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. Авторы описывают актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.

Таймлайн атак 2022–2024 г.

Представленный таймлайн отображает даты обнаруженных нами рассылок вредоносных писем, которые относятся к злоумышленнику VasyGrek.

Актуальная цепочка заражения VasyGrek в 2024

Цепочка заражения может иметь отличия в конкретных атаках. Для примера: в некоторых атаках вместо вложенного архива используется URL-адрес, при переходе по которому будет загружен архив. Также VasyGrek может использовать разное количество PureCrypter.Downloader, таким образом изменяя количество вредоносных инструментов, загружаемых на зараженную систему.

Ключевые находки

• Разбор цепочки заражения злоумышленника VasyGrek, атакующего российские компании.

• Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак.

• Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns.

• История разработчика ВПО Mr.Burns, начиная с 2010 года.

• Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании.

• По этическим соображениям мы не раскрываем в публичном исследовании персданные киберпреступников, но вся информация, собранная в ходе исследования, передана правоохранительным органам.

  Все подробности — включая индикаторы компрометации и обзор техник на основе матрицы MITRE ATT&CK — в новом блоге.