В своих многочисленных атаках VasyGrek использует инфицированные модификации легитимных инструментов удаленного управления системой — RMS (Remote Utilities), вредоносное ПО разработчика PureCoder (PureCrypter, PureLogs и т.д.), а также другое доступное для покупки в публичном пространстве ВПО, такое как MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и т.д.
В марте 2024 года об активности злоумышленника VasyGrek рассказали специалисты из компании BI.ZONE, используя название Fluffy Wolf для данного кластера активности, однако многое еще осталось за кадром.
В новом блоге специалисты компании F.A.C.C.T. рассказывают о текущих угрозах для российских компаний от злоумышленника VasyGrek, анализируют его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. Авторы описывают актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.
Представленный таймлайн отображает даты обнаруженных нами рассылок вредоносных писем, которые относятся к злоумышленнику VasyGrek.
Цепочка заражения может иметь отличия в конкретных атаках. Для примера: в некоторых атаках вместо вложенного архива используется URL-адрес, при переходе по которому будет загружен архив. Также VasyGrek может использовать разное количество PureCrypter.Downloader, таким образом изменяя количество вредоносных инструментов, загружаемых на зараженную систему.
Разбор цепочки заражения злоумышленника VasyGrek, атакующего российские компании.
Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак.
Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns.
История разработчика ВПО Mr.Burns, начиная с 2010 года.
Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании.
По этическим соображениям мы не раскрываем в публичном исследовании персданные киберпреступников, но вся информация, собранная в ходе исследования, передана правоохранительным органам.
Все подробности — включая индикаторы компрометации и обзор техник на основе матрицы MITRE ATT&CK — в новом блоге.
