
Крепкая финансовая связь: эксперты F.A.C.C.T. вскрыли киберпреступников VasyGrek и Mr.Burns
Начиная с 2020 года специалисты компании F.A.C.C.T. отслеживают атаки злоумышленника VasyGrek, нацеленного на российские компании как минимум с 2016 года. В качестве первоначального вектора атак VasyGrek использует электронные письма, отправленные якобы от имени бухгалтерии на финансовые темы: «Акт Сверки», «Платежное поручение», «1C».
В своих многочисленных атаках VasyGrek использует инфицированные модификации легитимных инструментов удаленного управления системой — RMS (Remote Utilities), вредоносное ПО разработчика PureCoder (PureCrypter, PureLogs и т.д.), а также другое доступное для покупки в публичном пространстве ВПО, такое как MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и т.д.
В марте 2024 года об активности злоумышленника VasyGrek рассказали специалисты из компании BI.ZONE, используя название Fluffy Wolf для данного кластера активности, однако многое еще осталось за кадром.
В новом блоге специалисты компании F.A.C.C.T. рассказывают о текущих угрозах для российских компаний от злоумышленника VasyGrek, анализируют его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. Авторы описывают актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.
Представленный таймлайн отображает даты обнаруженных нами рассылок вредоносных писем, которые относятся к злоумышленнику VasyGrek.
Цепочка заражения может иметь отличия в конкретных атаках. Для примера: в некоторых атаках вместо вложенного архива используется URL-адрес, при переходе по которому будет загружен архив. Также VasyGrek может использовать разное количество PureCrypter.Downloader,
Читать на habr.com
