Крепкая финансовая связь: эксперты F.A.C.C.T. вскрыли киберпреступников VasyGrek и Mr.Burns

В новом блоге специалисты компании F.A.C.C.T. рассказывают о текущих угрозах для российских компаний от злоумышленника VasyGrek, анализируют его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. Авторы описывают актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.

В своих многочисленных атаках VasyGrek использует инфицированные модификации легитимных инструментов удаленного управления системой — RMS (Remote Utilities), вредоносное ПО разработчика PureCoder (PureCrypter, PureLogs и т.д.), а также другое доступное для покупки в публичном пространстве ВПО, такое как MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и т.д.

В марте 2024 года об активности злоумышленника VasyGrek рассказали специалисты из компании BI.ZONE, используя название Fluffy Wolf для данного кластера активности, однако многое еще осталось за кадром.

В новом блоге специалисты компании F.A.C.C.T. рассказывают о текущих угрозах для российских компаний от злоумышленника VasyGrek, анализируют его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. Авторы описывают актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.

Таймлайн атак 2022–2024 г.

Представленный таймлайн отображает даты обнаруженных нами рассылок вредоносных писем, которые относятся к злоумышленнику VasyGrek.

Актуальная цепочка заражения VasyGrek в 2024

Цепочка заражения может иметь отличия в конкретных атаках. Для примера: в некоторых атаках вместо вложенного архива используется URL-адрес, при переходе по которому будет загружен архив. Также VasyGrek может использовать разное количество PureCrypter.Downloader, таким образом изменяя количество вредоносных инструментов, загружаемых на зараженную систему.

Ключевые находки

  • Разбор цепочки заражения злоумышленника VasyGrek, атакующего российские компании.

  • Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак.

  • Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns.

  • История разработчика ВПО Mr.Burns, начиная с 2010 года.

  • Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании.

  • По этическим соображениям мы не раскрываем в публичном исследовании персданные киберпреступников, но вся информация, собранная в ходе исследования, передана правоохранительным органам.

    Все подробности — включая индикаторы компрометации и обзор техник на основе матрицы MITRE ATT&CK — в новом блоге.

Материал опубликован при поддержке сайта habr.com
Комментарии

    Актуальные новости по теме "Array"