С 2020 года специалисты компании F.A.C.C.T. ведут мониторинг активности злоумышленника под псевдонимом VasyGrek, который атакует российские компании как минимум с 2016 года. Атаки начинаются с поддельных писем от бухгалтерии, содержащих финансовую тематику: “Акт Сверки”, “Платежное поручение” и “1C”. Эти письма содержат вредоносные вложения, которые инициируют заражение.
Злоумышленник активно использует инфицированные версии легитимных инструментов удаленного управления, таких как RMS (Remote Utilities), а также вредоносное ПО от разработчика PureCoder (PureCrypter, PureLogs и другие). Помимо этого, в арсенале VasyGrek имеются программы, доступные для покупки в публичном пространстве: MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и другие.
В марте 2024 года компания BI.ZONE представила исследование активности VasyGrek, называя его деятельность “Fluffy Wolf”. Однако, множество деталей всё ещё оставалось неизвестным.
В новой статье компания F.A.C.C.T. проливает свет на текущие угрозы для российских компаний от VasyGrek, анализируя его активность на форумах и связь с разработчиком вредоносного ПО Mr.Burns. В статтье также описана новая версия инструмента BurnsRAT и подробная информация о его создателе.
Хронология атак 2022-2024
Компания F.A.C.C.T. представила таймлайн атак VasyGrek за период 2022-2024 годов.
Актуальная цепочка заражения в 2024 году
Злоумышленник использует различные методы заражения. В некоторых атаках вместо вложенного архива используется URL-адрес, ведущий к загрузке архива. VasyGrek также меняет количество PureCrypter.Downloader, что влияет на количество вредоносных инструментов, загружаемых на систему.
- Разбор цепочки заражения злоумышленника VasyGrek, атакующего российские компании.
- Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак.
- Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns.
- История разработчика ВПО Mr.Burns, начиная с 2010 года.
- Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании.