Начиная с 2020 года специалисты компании F.A.C.C.T. отслеживают атаки злоумышленника VasyGrek, нацеленного на российские компании как минимум с 2016 года. В качестве первоначального вектора атак VasyGrek использует электронные письма, отправленные якобы от имени бухгалтерии на финансовые темы: «Акт Сверки», «Платежное поручение», «1C».
В своих многочисленных атаках VasyGrek использует инфицированные модификации легитимных инструментов удаленного управления системой — RMS (Remote Utilities), вредоносное ПО разработчика PureCoder (PureCrypter, PureLogs и т.д.), а также другое доступное для покупки в публичном пространстве ВПО, такое как MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и т.д.
В марте 2024 года об активности злоумышленника VasyGrek рассказали специалисты из компании BI.ZONE, используя название Fluffy Wolf для данного кластера активности, однако многое еще осталось за кадром.
В новом блоге специалисты компании F.A.C.C.T. рассказывают о текущих угрозах для российских компаний от злоумышленника VasyGrek, анализируют его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. Авторы описывают актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.
Таймлайн атак 2022–2024 г.
Представленный таймлайн отображает даты обнаруженных нами рассылок вредоносных писем, которые относятся к злоумышленнику VasyGrek.
Актуальная цепочка заражения VasyGrek в 2024
Цепочка заражения может иметь отличия в конкретных атаках. Для примера: в некоторых атаках вместо вложенного архива используется URL-адрес, при переходе по которому будет загружен архив. Также VasyGrek может использовать разное количество PureCrypter.Downloader, таким образом изменяя количество вредоносных инструментов, загружаемых на зараженную систему.
Ключевые находки
-
Разбор цепочки заражения злоумышленника VasyGrek, атакующего российские компании.
-
Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак.
-
Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns.
-
История разработчика ВПО Mr.Burns, начиная с 2010 года.
-
Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании.
-
По этическим соображениям мы не раскрываем в публичном исследовании персданные киберпреступников, но вся информация, собранная в ходе исследования, передана правоохранительным органам.
Все подробности — включая индикаторы компрометации и обзор техник на основе матрицы MITRE ATT&CK — в новом блоге.
ссылка на оригинал статьи https://habr.com/ru/articles/827346/
Добавить комментарий