VasyGrek и Mr.Burns: крепкие связи в сфере финансов

Несмотря на значительный рост кибератак со стороны прогосударственных групп и хактивистов, финансовая мотивация у киберпреступников, разумеется, никуда не исчезла. И, кроме многочисленных групп операторов вымогателей, о которых мы довольно подробно рассказываем в наших блогах, в киберпреступном мире действуют несколько знаковых персонажей-одиночек, которым по разным причинам долгое время удавалось избегать публичности. Пора это исправить.

Начиная с 2020 года специалисты компании F.A.C.C.T. отслеживают атаки злоумышленника VasyGrek, атаковавшего российские компании как минимум с 2016 года. В качестве первоначального вектора атак VasyGrek использует электронные письма, отправленные якобы от имени бухгалтерии на финансовые темы: «Акт Сверки», «Платежное поручение», «1C».

В своих многочисленных атаках VasyGrek использует инфицированные модификации легитимных инструментов удаленного управления системой — RMS (Remote Utilities), вредоносное ПО разработчика PureCoder (PureCrypter, PureLogs и т.д.), а также другое доступное для покупки в публичном пространстве ВПО, такое как MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и т.д.

В марте 2024 года об активности злоумышленника VasyGrek рассказали специалисты из компании BI.ZONE, используя название Fluffy Wolf для данного кластера активности, однако многое еще осталось за кадром.

В данной статье мы расскажем о текущих угрозах для российских компаний от злоумышленника VasyGrek, проанализируем его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. В статье мы опишем актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.

Ключевые находки

• Разбор цепочки заражения злоумышленника VasyGrek, атакующего российские компании.
• Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак.
• Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns.
• История разработчика ВПО Mr.Burns, начиная с 2010 года.
• Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании.

Таймлайн атак 2022–2024 г.

Представленный таймлайн отображает даты обнаруженных нами рассылок вредоносных писем, которые относятся к злоумышленнику VasyGrek.

 

Актуальная цепочка заражения VasyGrek в 2024

Цепочка заражения может иметь отличия в конкретных атаках. Для примера: в некоторых атаках вместо вложенного архива используется URL-адрес, при переходе по которому будет загружен архив. Также VasyGrek может использовать разное количество PureCrypter.Downloader, таким образом изменяя количество вредоносных инструментов, загружаемых на зараженную систему.

VasyGrek как минимум с 2017 года и до момента написания данной статьи использует электронные письма как первоначальный вектор инициализации своих атак.

Темы писем, отправляемых VasyGrek, содержат запросы на подпись актов сверки, платежных поручений и т. д. В большинстве случаев письма отправляются от имени бухгалтерии. Они содержат вложенный архив, защищенный паролем. Пароль находится в имени самого архива. Внутри архива располагается исполняемый файл. Исследованные нами исполняемые файлы были классифицированы как PureCrypter.Downloader.

Для примера: в атаке 2 апреля 2024 года архив docx_1C_02_04_2024 (ПАРОЛЬ 123).rar содержит исполняемый файл docx_1C_02_04_2024.PDF.com (SHA1: f9737d2ada4de632e0213d09fd90d329113918f1), классифицированный нами как PureCrypter.Downloader, задачей которого является загрузка и запуск следующей стадии — PureCrypter.Injector. Способ передачи полезной нагрузки может изменяться. Нами были обнаружены как случаи передачи файла с обратным порядком байтов, так и зашифрованные файлы, где для шифрования использовался алгоритм Triple DES. После того как файл будет приведен к валидной форме, он будет загружен в память и выполнен в контексте текущего процесса. PureCrypter.Injector представляет собой библиотеку, основанную на .NET, задачами которой является запуск следующей стадии и дополнительного вредоносного модуля. Дополнительный модуль будет выполнен в памяти процесса, без сохранения в систему, а следующая стадия будет записана в память системы, и впоследствии выполнится ее запуск на зараженном устройстве.

Важно отметить, что вариации вредоносных модулей могут зависеть от конкретной атаки. Это могут быть вредоносные инструменты, разработанные PureCoder, а также MetaStealer. Стоит отметить, что ранее 2024 года VasyGrek использовал в своих атаках вредоносные инструменты RedLine и WarzoneRAT (Ave Maria). Также отличительной особенностью VasyGrek является использование в дополнительных модулях C2-адресов, которые ведут к одному серверу и отличаются лишь выделенным портом для каждого вредоносного инструмента. Для примера: в атаках 2024 года дополнительные модули взаимодействуют с командным сервером через IP-адрес 91[.]246[.]41[.]200, где используются выделенные порты для различного ВПО: 7702, 5554, 56001, 56002, 56003, 58001, 58002, 58003.

Как мы указали на схеме выше, VasyGrek может использовать PureCrypter.Downloader несколько раз для запуска дополнительных вредоносных модулей в зараженной системе. В абсолютном большинстве атак финальной, обнаруженной нами стадией цепочки заражения является инфицированная модификация ПО удаленного управления системой Remote Utilities (aka RMS). Данное вредоносное ПО классифицируется специалистами компании F.A.C.C.T. как BurnsRAT. Подробнее об указанном инструменте мы расскажем в разделе BurnsRAT.

По нашим данным, после того как на зраженную систему будет установлен BurnsRAT, VasyGrek отправляет команды следующего вида: cmdv start {URL}. Данные команды используются для отображения веб-страницы с указанным злоумышленником URL в браузере, на зараженной системе. В исследуемых случаях, ссылки содержали лендинг страницы с фейковой формой авторизациии в бизнес-аккаунт банковских сервисов. VasyGrek использует веб-страницы, содержащие фейковые формы, как минимум, с 2022 года.

Крепкая (мужская) связь

Данный раздел посвящен исследованию одной из атак, проведенной VasyGrek в 2020 году. Ошибка, допущенная при настройке командного сервера, привела нас к связи двух злоумышленников, взаимодействие которых длится более пяти лет.

В период атак с мая по декабрь 2020 года VasyGrek использовал вредоносное ПО BurnsRAT.TV (инфицированная модификация TeamViewer), который содержал C2-адреса 360mediashare[.]com:

• hxxp://360mediashare[.]com/1/command.php
• hxxp://360mediashare[.]com/2/command.php

Письмо, которое было отправлено с почты vasy2020new@yandex[.]ru 19 ноября 2020 года, включало изображение с ссылкой для загрузки архива: hxxps://trianglimsk[.]ru/optata.rar. Загруженный архив oplata.rar (SHA1: e961421fdc72cd6abe737ed3d9db5ed5cb311ec4) содержал исполняемый файл oplata.scr (SHA1: 4812625252165982da23875c469666425ce4866e), который является вредоносным ПО WarzoneRAT (также — Ave Maria).

Обнаруженный образец WarzoneRAT содержит C2-адрес: 95.217.100.156:5541, с которого была получена ссылка hxxps://trianglimsk[.]ru/_Release.exe, используемая для загрузки следующей стадии — BurnsRAT.TV (SHA1: 49d95a7cc045171acbf7512585b0b985f2853e60).

Полученная сборка BurnsRAT.TV содержит C2-адрес hxxp://360mediashare[.]com/2/command.php. При обращении к домену 360mediashare[.]com была обнаружена открытая директория, в которой находились директории «1», «2», «cgi-bin» и файлы panel_vasy.zip и tg.php. Свободный доступ к корневой директории, вероятно, осуществлялся вследствие технических ошибок в конфигурации сервера.

Файл panel_vasy.zip является архивом, содержащим файлы из директорий «1» и «2», а также конфигурационный файл tg.php. Файл tg.php содержит токен (индивидуальный ключ, необходимый для функционирования) телеграм-бота @GREK2020bot (ID 990668955) и команды для работы бота с базой данных.

В ходе дальнейшего исследования были получены сообщения, отправленные и полученные этим ботом. Взаимодействие с ботом осуществляли только два пользователя: @vasy2020grek (ID 273306959) и @goga_seksi (ID 295688215). Судя по полученным сообщениям, после отправки боту стандартной команды /start пользователи получали от него данные с зараженных устройств, содержащие IP-адреса жертв и ID для подключения. В логах содержится поле Type:, которое имеет два значения: TV и RMS, в зависимости от используемой вариации вредоносного ПО BurnsRAT.

Исходя из логов бота можно утверждать, что администраторами исследуемого ВПО являются пользователи с телеграм-аккаунтами @vasy2020grek (ID 273306959) и @goga_seksi (ID 295688215), так как информация о зараженных устройствах отправляется только им.

Далее мы предоставим результаты наших исследований по каждому из данных пользователей и подробнее опишем их активность на форумах, а также сферы их деятельности.

VasyGrek

В результате поиска по телеграм-аккаунту @vasy2020grek было обнаружено сообщение о поиске вредоносного ПО типа RAT в телеграм-чате Market.ms.

4 февраля 2021 года телеграм-аккаунт @vasy2020grek появился в сообщении пользователя mts2015stm на теневом форуме exploit.in.

Активность на форумах

Исходя из данных нашей платформы F.A.C.C.T. Threat Intelligence, активность пользователя с псевдонимом mts2015stm на форуме exploit.in началась с 10 октября 2016 года. Первое обнаруженное сообщение было отправлено в теме «требуется RMS (реверс доработка)» с предложением о спонсорстве и покупке готового билдера RMS.

На следующий день, 11 октября 2016 года, этим пользователем была создана тема «Куплю программы для удаленного доступа!», где было опубликовано сообщение о поиске инструментов удаленного доступа.

В дальнейшем он активно участвовал в обсуждениях на форуме exploit.in вопросов, связанных с покупкой или продажей вредоносного ПО, построенного на основе легитимных инструментов удаленного управления, таких как RMS или TeamViewer.

Также в ходе изучения активности mts2015stm нами были обнаружены его сообщения с благодарностями в темах, посвященных следующим ВПО:

• различным Android-троянам (exploit.in — 2017, hackforums.net — 2019);
• Azorult (exploit.in — 2017);
• MinerBot (exploit.in — 2017);
• WarzoneRAT (hackforums.net — 2019);
• Raccoon Stealer (exploit.in — 2019).

Последнее сообщение пользователя mts2015stm было отправлено 4 февраля 2021 года на форуме exploit.in в собственную тему «Куплю Лоадер, либо ищу того кто может делать билды».

Связь активности на форумах с атаками

Хотя пользователь mts2015stm и прекратил свою активность на форумах три года назад, атаки VasyGrek с того времени только набирали обороты и продолжаются по сегодняшний день. Подтверждением этого может служить таймлайн атак и примеры писем из описания цепочки заражения, которые мы указывали выше.

Мы зафиксировали корреляции дат начала активности пользователя mts2015stm на форумах с датами атак, совершенных злоумышленником VasyGrek. Так, мы имеем индикаторы, исходя их которых атаки данного злоумышленника начинаются с декабря 2016 года, где атакующий распространял модифицированные RMS. Суть модификации в том, что после своей инициализации RMS отправляет информацию для подключения к зараженной системе на почту, подконтрольную злоумышленнику.

VasyGrek размещал свои образцы ВПО на сервере, откуда они загружались с помощью XLS-файлов (пример файла Акт СВЕРКИ.xls — SHA1: 942d9edeada9547014c163120429831d126d9747), содержащих VBA-сценарии. Далее в результате выполнения сценариев производилась загрузка модифицированного RMS. Стоит также отметить тот факт, что начиная с 2016 года VasyGrek использует в названиях своих файлов терминологию бухгалтерских документов, содержащую такие ключевые слова как «акт сверки», «платежное поручение», «1C» и т. д.

Первым обнаруженным доменом, с которого распространялись модифицированные RMS, является mts2015stm[.]ru. Примечательно, что имя домена совпадает с псевдонимом VasyGrek на форумах (mts2015stm). Однако первые найденные письма, атрибутированные к злоумышленнику VasyGrek, были отправлены 27 июня 2017 года.

Здесь мы также отметим неизменность в названиях тем писем, используемых злоумышленником VasyGrek на протяжении всего периода своих атак.

Как мы отмечали ранее, нам известны случаи атак VasyGrek с применением различного вредоносного ПО, которое продается на теневых форумах. Как ни странно, mts2015stm также оставлял на форумах комментарии в темах о продаже этого ВПО.

Пример такого «совпавшего» ВПО, которое использовал VasyaGrek, приведен ниже:

• WarzoneRAT начиная с 2019 года (пример C2: 146.185.195[.]28:5541).
• AZORult в 2017 году (пример C2: 181.215.235.180).
• Miner ПО в 2017 году (пример файла SHA1: 9dd39d2c4def476e987e77f6593e7b6feff86dda).

С начала 2019 года VasyGrek взял за основу своих атак модифицированные версии TeamViewer и RMS, написанные одним и тем же разработчиком и классифицируемые нами как семейство BurnsRAT. Подробнее о данном разработчике и вредоносном ПО BurnsRAT вы узнаете в соответсвующих разделах нашего исследования. Это вредоносное ПО VasyGrek использует с 2019 года и по сегодняшний день. Ниже мы представили таймлайн использования C2-адреса BurnsRAT в виде таблицы по датам распространения файлов.

Таким образом, мы можем утверждать, что VasyGrek является клиентом/партнером этого разработчика вредоносного ПО более пяти лет.

Mr.Burns

Вернемся к телеграм-аккаунту @goga_seksi, который также получал сообщения о скомпрометированных устройствах, как и @vasy2020grek, принадлежащий злоумышленнику VasyGrek.

В описании телеграм-аккаунта @goga_seksi (ID 295688215) был указан Jabber-аккаунт mrburns@exploit.im.

В результате поиска по псевдониму mrburns было обнаружено несколько аккаунтов с почти таким же именем (Mr.Burns) на различных теневых форумах. Как показало дальнейшее расследование, все они принадлежат одному и тому же разработчику вредоносного ПО. Mr.Burns является истинным долгожителем дарквеба: первые его сообщения на теневых форумах датируются 2010 годом. Созданные Mr.Burns программы в большинстве своем основываются на легитимных средствах удаленного управления, таких как TeamViewer, RMS (Remote Utilities), LiteManager и др.

Начиная с самых первых сообщений в 2010 году на форумах hpc.name, antichat.ru и prologic.su Mr.Burns интересовался и активно участвовал в обсуждении программирования, эксплойтов, снифферов и способов обхода антивирусов. Основной сферой его деятельности всегда было создание вредоносного ПО, однако долгое время все разработки публиковались в свободном доступе без коммерческой выгоды.

Впервые Mr.Burns опубликовал самописное вредоносное ПО в августе 2010 года на форумах Antichat и prologic. Это был «Фейк Mail.Ru Агент 5.7» — стилер, имитирующий страницу авторизации агента Mail.ru, проверяющий валидность введенных пользователем данных и отправляющих их на командный центр.

3 сентября 2011 года другим пользователем форума xaker.name была создана тема «RMS 5.1 c отправкой ID и pass на почту» (https://xak[.]guru/threads/23230/) о сборке средства удаленного управления RMS 5.1 с возможностью скрытой работы. Тема получила большой отклик от участников форума и набрала более 1900 комментариев. Именно благодаря этой теме Mr.Burns заинтересовался разработкой троянов удаленного доступа и в ней же с июня 2013 года начал публикацию собственных сборок RMS. В течение года он публично занимался изменением и улучшением качества ВПО.

В 2014 году Mr.Burns опубликовал собственную тему, посвященную созданной им модифицированной версии RMS 5.6 (название: «Портабельная версия RMS 5.6»). В данной теме было обнаружено описание сборки и ссылка для ее скачивания, опубликованные автором — Mr.Burns.

С этого момента все дальнейшие опубликованные разработки Mr.Burns были модификациями различных средств удаленного управления. В постах с описанием сборок не скрывалось, что они создаются в качестве вредоносного программного обеспечения. При этом все первые версии своих ВПО типа RAT Mr.Burns выкладывал в публичный доступ, а не продавал.

Со временем пришло и признание со стороны сообщества вирусописателей. 19 марта 2021 года пользователь Mr.Burns был назначен модератором раздела Malware на теневом форуме exploit.in.

Первым обнаруженным нами случаем продажи собственных инструментов Mr.Burns мы считаем тему на форуме exploit.in «[АРЕНДА] RAT Скрытый TeamViewer / Hidden TeamViewer». Первое сообщение с информацией о сборке было опубликовано 19 августа 2021 года.

После публикации темы с продажей ВПО форумная активность Mr.Burns практически прекратилась. Он продолжает публиковать только редкие апдейты в своих коммерческих темах.

Темы на форуме exploit.in, где наблюдалась недавняя активность Mr.Burns:

• [RAT] RMS BTS Edition — RAT+HRDP на основе легитимного софта (февраль 2023 г. — по настоящее время).
• [АРЕНДА] RAT Скрытый TeamViewer / Hidden TeamViewer (сентябрь — август 2021 г.).
• Скрытый TeamViewer / Hidden TeamViewer (август 2021 г.).
• Скрытый LiteManager аналоГовнет RMS RAT + src (март 2021 г.).

Данный разработчик также ведет топик «[RAT] RMS (BTS Edition) — RAT на основе легитимного софтa» на xss.is под псевдонимом MrBurns.

Кто скрывается под маской?

Кстати, неболшой дисклеймер: по этическим соображениям мы не раскрываем персональные данные, но вся информация, собранная в ходе исследования, передана правоохранительным органам.

Практически во всех профилях с именем Mr.Burns, обнаруженных на теневых форумах, в качестве контакта для связи указан номер ICQ 610047. Это подтверждает, что, несмотря на сомнительную атрибуцию по имени персонажа из популярного мультсериала «Симпсоны», все эти профили принадлежат одному и тому же злоумышленнику.

Тот же самый номер ICQ указывали пользователи sponkey на форумах xss.is и searchengines.guru и Пропеллер на форуме searchengines.guru.

По нашим данным, некоторые из этих аккаунтов зарегистрированы на электронные почтовые ящики sonofabitch@ua.fm и sonofabitch@ukr.net.

На электронную почту sonofabitch@ukr.net в настоящее время зарегистрирована заблокированная страница в социальной сети «ВКонтакте» на имя П’ятночка Володимира, Тернополь, однако раньше на эту почту была зарегистрирована страница на имя Андрій Р******, Тернополь).

Сейчас же данная страница зарегистрирована на электронную почту sluter@ukr.net. Изначально эта страница «ВКонтакте» была привязана к номеру телефона 380********* (Kyivstar, Украина). Но сейчас на этот номер зарегистрирована другая страница на то же имя — Андрій Р*******, Тернополь, и аккаунт в мессенджере Skype Sluter_ua с указанной датой рождения.

В 2006 году на ресурсе Midi.ru пользователь Андрей Р****** указывал  тот же телефонный номер 380********* в качестве контактной информации. В профиле Андрея упомянута дата рождения **.**.1986, совпадающая с датой из Skype пользователя Sluter_ua, и город Тернополь.

По совокупности собранных данных можно с уверенностью утверждать, что разработчиком вредоносного ПО с псевдонимом Mr.Burns является гражданин Украины Андрей Р****** (Андрiй Р*******) **.**.1986 года рождения из города Тернополя.

BurnsRAT

Продажа на форуме

На текущий момент автор ведет топики «[RAT] RMS BTS Edition — RAT+HRDP на основе легитимного софта» на exploit.in и «[RAT] RMS (BTS Edition) — RAT на основе легитимного софтa» на xss.is, в которых осуществляет продажу вредоносной модификации RMS. Данный инструмент, разработанный Mr.Burns, классифицируется нами как BurnsRAT.

Ниже мы представим описание BurnsRAT, взяв за основу сборку, которая использовалась в одной из атак VasyGrek.

Информация об анализируемом файле сборки BurnsRAT:

• Имя файла: 22012024BUILD.exe
• MD5: 2302efee7f01875df7afa6b03301b93e
• SHA1: 02af288ea97c1f2c5cda007556541865614f9651
• SHA256: b2193cb3f8bd13c8a5769d5ce499a36b9c44e2eb2800bcdf22320525beaf9586

Процесс запуска

Программное обеспечение, построенное Mr.Burns, использует технику DLL Hijack, где легитимное программное обеспечение распространяется вместе с зараженной библиотекой, которая будет загружена легитимным инструментом удаленного управления. При его запуске дважды используется техника перехвата порядка выполнения. После чего вредоносная библиотека будет загружена в память.

Исполняемый файл является самораспаковывающимся архивом, который содержит файлы:

• Silverlight.Configuration.7z (путь и название могут быть изменены) — архив, содержащий сборки SilverLight, Remote Utilities, а также модифицированную библиотеку msimg32.dll.
• 7z.exe — утилита 7-Zip.

Однако в некоторых случаях вместо SFX-архивов могут использоваться NSIS-установщики. В таком случае взамен стандартной утилиты 7-zip будет задействована библиотека nsis7z.dll, которая позволяет применять возможности 7-zip в контексте NSIS-сценариев.

После запуска исполняемый файл распаковывает архив Silverlight.Configuration.7z в директорию C:\ProgramData\Silverlight.Configuration\Old и запускает исполняемый файл Silverlight.Configuration.exe (утилита настройки Microsoft Silverlight). Директория, в которую будут извлечены файлы, зависит от конкретной сборки, однако в большинстве случаев она связана с названием легитимных инструментов, участвующих в цепочке запуска BurnsRAT. Примеры файловых путей:

• {ProgramData}\Silverlight.Configuration\Old\
• {ProgramData}\Usoris\Remote Utilities\Backup\
• {ProgramData}\RUTs\Logs\

Silverlight.Configuration.exe в данном случае необходим для запуска Remote Utilities с использованием техники перехвата порядка выполнения. После своего запуска Silverlight.Configuration.exe пытается запустить файл файл wuapihost.exe, который является системной утилитой и располагается в системной папке. Однако при использовании техники перехвата порядка выполнения в директории расположения Silverlight.Configuration.exe находится другой файл — wuapihost.exe, являющийся переименованным rutserv.exe-файлом утилиты Remote Utilities. Таким образом, вместо системной утилиты будет запущена программа Remote Utilities. Переименованный rutserv.exe пытается запустить системную библиотеку msimg32.dll, однако вместо нее с использованием техники перехвата порядка выполнения будет запущена содержащаяся в директории модифицированная версия данной библиотеки. Как раз данная библиотека содержит реализацию вредоносных функций BurnsRAT, а также функциональные возможности для сокрытия видимости работы Remote Utilities.

Инициализация

Инициализация трояна располагается в DllMain-функции, которая будет запущена после загрузки данной библиотеки в память процесса. В случае если отсутствует ключ реестра HKCU\SOFTWARE\Usoris\Backup, будет выполнена инициализация BurnsRAT. Инициализация заключается в получении необходимых данных о системе и процессе, а также назначении hook-функций, которые будут обеспечивать работу модифицированной версии легитимного инструмента удаленного управления системой. В основном переопределения функций завязаны на сокрытии работы RMS и избежании ошибок при попытках обращения к оригинальным именам файлов, ключей реестров и событий. Однако одно из переопределений функций (CreateWindowExW) содержит функциональные возможности для создания потока, который отвечает за взаимодействие с сервером, а также получение и обработку команд. Список функций, которые будут переопределены в процессе инициализации:

• OutputDebugStringW
• FindFirstFileW
• GetModuleFileNameW
• CreateToolhelp32Snapshot
• GetFileAttributesW
• CreateFileW
• CreateProcessW
• CreateEventW
• GetCommandLineW
• CreateWindowExW
• NtUserSetWindowPos
• NtUserShowWindow
• MessageBoxA
• MessageBoxW
• SetForegroundWindow
• BringWindowToTop
• NtUserSetFocus
• Shell_NotifyIconW
• SHGetSpecialFolderLocation
• bind
• connect
• PlaySoundW
• sndPlaySoundW
• WTSSendMessageW
• RegCreateKeyExW
• RegOpenKeyExW
• OpenServiceW
• CreateServiceW
• CheckTokenMembership
• GetNamedSecurityInfoW
• SetNamedSecurityInfoW
• CreateProcessAsUserW
• CreateProcessWithLogonW
• WinVerifyTrust

Закрепление в системе

Для достижения закрепления в системе BurnsRAT создает сервис с названием USBSafeManager и отображаемым именем USB Safe Manager. Данный сервис будет выполнять команду, которая имеет следующий шаблон:

%SYSTEMROOT%\system32\svchost.exe -k \»USBSafeManagerGrp\» -svcr \»{BURNS_RAT_FULL_PATH}\»

Помимо сервиса, BurnsRAT создает ключ реестра в ветке HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce с именем Silverlight.Configuration.exe и значением в виде файлового пути к инструменту Silverlight.

Сетевое взаимодействие

BurnsRAT общается с командным сервером, используя стандартный HTTPS-протокол. Трафик зашифрован алгоритмом RC4, где ключом является доменное имя, через которое выполняется коммуникация с сервером (пример: vip22gr[.]ru). User-Agent имеет следующий шаблон: Mozilla/5.0 (Windows NT {OsMajorVersion}.{OsMinorVersion}) Firefox/78.0.

Перед началом взаимодействия с командным сервером будут собраны следующие данные:

• Установлен ли сервис USBManager (0 или 1).
• Разрядность запущенного процесса (0 — x86, 1 — x64).
• Получены ли права администратора (0 или 1).
• Запущен ли процесс от имени администратора (0 или 1).
• CRC32 от %USERNAME%%COMPUTERNAME%%SID%2.
• Версия системы (major, minor, build number).
• Имя пользователя.
• Имя компьютера.
• Имя домена.
• Язык системы.
• Имя активного окна.
• Путь к файлу процесса активного окна.
• InternetId и пароль RMS.
• Скриншот экрана.

После этого данные будут зашифрованы и отправлены на командный сервер.

Данные, возвращаемые сервером, также зашифрованы алгоритмом шифрования RC4, где ключом, через который происходит взаимодействие с командным сервером, является доменное имя. В ответе от сервера, помимо команд, будет получен запасной C2-адрес и путь, через который будет происходить взаимодействие в случае, если основной сервер стал недоступен. На момент написания статьи C2-сервер возвращает адрес hxxp://vip23newtop[.]fun/framework/.

Панель BurnsRAT

При переходе по C2-адресу будет отображена панель, на которой представлены поля для ввода логина и пароля, а также CAPTCHA и текст «Welcome from here». Ранее данная панель содержала заголовок TVRAT Panel 2.0.

Команды BurnsRAT

В исследуемой версии BurnsRAT было обнаружено 14 обрабатываемых команд. BurnsRAT скрывает название команд путем использования CRC32-значений для каждой из них. Ниже представлена таблица, которая содержит описание для каждой из команд и их названия в тех случаях, где нам удалось их определить.

Выводы

VasyGrek на протяжении долгого времени проводит атаки, нацеленные на финансовых сотрудников российских компаний. В данной статье мы хотели показать, насколько долговечными могут быть подобные угрозы и как долго один злоумышленник может выполнять атаки, при этом сохраняя свои отличительные черты. Mr.Burns достаточно известный на форумах разработчик вредоносного ПО. Он на протяжении долгого времени остается приверженным одному и тому же типу ВПО, которое основывается на легитимных инструментах удаленного управления системой.

Рекомендации

Для предотвращения и защиты от потенциальных кибератак злоумышленника VasyGrek специалисты F.A.C.C.T. Threat Intelligence рекомендуют:

1. Отслеживать подозрительные сервисы, созданные на конечных точках.
2. Проверять соответствующие ветки реестра для обнаружения ВПО, закрепляющегося в системе данным способом.
3. Использовать современные меры защиты электронной почты, чтобы предотвратить первоначальный взлом. Мы рекомендуем узнать, как F.A.C.C.T. Business Email Protection может эффективно противостоять такого рода атакам.
4. Регулярно обучать сотрудников, чтобы сделать их менее подверженными фишингу во всех его формах.
5. Использовать современные средства выявления и устранения киберугроз. Мы рекомендуем узнать, как решение F.A.C.C.T. Managed XDR предоставляет исключительные возможности для обнаружения угроз и реагирования на них за счет использования многочисленных источников телеметрии и передовых технологий машинного обучения.
6. Использовать данные F.A.C.C.T. Threat Intelligence для обнаружения и проактивного поиска угроз.

Индикаторы компрометации за 2024 год

Ссылки

• hxxp://vip22gr[.]ru/framework/
• hxxps://web-whatsap[.]online/kopiya_skrinchot_1C.pdf.rar
• hxxps://downlod-bussines[.]ru/koriya_akt_upd_1C.PDF.rar
• hxxps://doc2024[.]ru/2024bldrms.exe
• hxxps://bussines-raff[.]fun/BLD.exe
• hxxps://bussines-raff[.]fun/MetaKript.exe
• hxxps://saitraif[.]ru/22012024BUILD.exe
• hxxps://bussines-raff[.]fun/22012024BUILD.exe
• hxxps://doc-1c[.]fun/panel/uploads/Hnxuy.vdf
• hxxps://saitraif[.]ru/panel/uploads/Lexhwif.pdf
• hxxps://saitraif[.]ru/panel/uploads/Qxudsj.mp4
• hxxps://saitraif[.]ru/panel/uploads/Qzvldxefss.mp4
• hxxps://saitraif[.]ru/panel/uploads/Hyfhtwkc.mp3
• hxxps://saitraif[.]ru/panel/uploads/Awrxzkoc.mp3
• hxxps://saitraif[.]ru/panel/uploads/Xkwjbhibh.dat
• hxxps://saitraif[.]ru/panel/uploads/Kjpdz.mp4
• hxxps://saitraif[.]ru/panel/uploads/Asvchn.wav
• hxxps://saitraif[.]ru/panel/uploads/Ahjhcuubue.mp3
• hxxps://sk-krona[.]fun/panel/uploads/Fhzcvdiuu.wav
• hxxps://sk-krona[.]fun/panel/uploads/Vgnaahn.mp3
• hxxps://sk-krona[.]fun/panel/uploads/Xzkxso.mp3
• hxxps://sk-krona[.]fun/panel/uploads/Ljncj.dat
• hxxps://sk-krona[.]fun/panel/uploads/Wfbitmtjlzd.dat
• hxxps://sk-krona[.]fun/panel/uploads/Tvmjmv.mp4
• hxxps://sk-krona[.]fun/panel/uploads/Zofrj.dat
• hxxps://sk-krona[.]fun/panel/uploads/Nsvozql.mp4
• hxxps://sk-krona[.]fun/panel/uploads/Wllyqo.mp4
• hxxps://sk-krona[.]fun/panel/uploads/Cvevg.mp3
• hxxps://sk-krona[.]fun/panel/uploads/Seancczvbv.wav
• hxxps://sk-krona[.]fun/panel/uploads/Oguqs.mp4
• hxxps://sk-krona[.]fun/panel/uploads/Vfqegoe.dat
• hxxps://sk-krona[.]fun/panel/uploads/Etqslnpm.mp4
• hxxps://sk-krona[.]fun/panel/uploads/Awdiaz.pdf
• hxxps://sk-krona[.]fun/panel/uploads/Fxeiroo.mp3
• hxxps://sk-krona[.]fun/panel/uploads/Dscxqvi.mp4
• hxxps://sk-krona[.]fun/panel/uploads/Dzyhmzjdtpz.wav
• hxxps://sk-krona[.]fun/panel/uploads/Qydultut.dat
• hxxps://downlod-bussines[.]ru/panel/uploads/Yppohxqf.vdf
• 91.246.41[.]200:7702
• 91.246.41[.]200:5554
• 91.246.41[.]200:56001
• 91.246.41[.]200:56002
• 91.246.41[.]200:56003
• 91.246.41[.]200:58001
• 91.246.41[.]200:58002
• 91.246.41[.]200:58003

Файлы

Архивы

Doc_27052024_1c (ПАРОЛЬ 123).rar

• MD5: f75f4caba62e00381830e0f868737eac
• SHA1: 1a112352b29beb301569db5aa3a68ba25444ca40
• SHA256: 7da756b08230bd426defeaea35588b899057228ac19f3a21625582038e405c76

doc_7815651a08547.PDF(ПАРОЛЬ 123).rar

• MD5: b4a9522a14bf3dcfbccaa46ec30bdc04
• SHA1: 5bb8e9ed257652a014d886b22d2813b5c91e4b2d
• SHA256: 382031a229aad519f8d243923e504e8dedf0106f4ce274ab9640ce55542b962d

kopiya_skrinchot_1C.pdf.rar

• MD5: b91a1ac8f85543ff0aeb329e639ebfba
• SHA1: 568a3145a417a581ba1a598bfc32532f3f7b1389
• SHA256: 2ef38ea449b172cef5e1015bc4b5e37de8ece7d4be087b6bdded5a992493e7aa

docx_1C_02_04_2024 (ПАРОЛЬ 123).rar

• MD5: b17b57f48e086e4b42788500378439b9
• SHA1: 6ce51b3292808cb2eb799765ed38473ab99e6b80
• SHA256: e360674d2abf0bea085d01bc3595e19efb3ac061ab8090a32d0c579c621c46f6

Doc20032024.PDF (ПАРОЛЬ 123).rar

• MD5: 2369d0794f9187a3e26d96cba5efad87
• SHA1: 170936e8bb0416bb981203120fd1cbdf52dc895e
• SHA256: 14f5ef72472f64edee2e852d1c677ad4f61b780c3ac93649835c4cc30f5c5b2f

Doc_11032024_1C_98347r483df2grg5tg.rar

• MD5: 7bdaafec94c18e94c67629a8617167b4
• SHA1: 241d2b9fdb8574575a9f2f3bc2961e0ed55a0492
• SHA256: 950bdf0842e513180c42ab3809e57c0779456c51a53e41ce8e833ed36880230e

Akt_09283_1C_oplata.PDF.rar

• MD5: beb42f19b0176e111f76e4d7d8afa57e
• SHA1: 973124cd723f1d7d6b94a59f97dfa7fb5020c4ea
• SHA256: 03b11a7319a44c8848d239b8ce49ebb43ebe90dfb9927771a2258bbe3d0e655e

doc_034_25_01_2024_1C.PDF.rar

• MD5: 39560b75207987740cff07366cc0a065
• SHA1: 984c74fcf8bb3a60ea950000193b36d07f702c4c
• SHA256: 1304a1ec426aa4d39c255aef059bc5b2cb9fef096cd6d136c63ddf8a3b936b96

16_04_2024_doc_1C (ПАРОЛЬ 123).rar

• MD5: 6fdc656c8bcfe6f4658b3fa3216ab9d2
• SHA1: 323af4cac603074f692985844d01cb26c86f3522
• SHA256: 2e4d3cf89636072438deb7e690ea376e8433c5dc59d8befedc0f5b79ea9a6b7d

koriya_akt_upd_1C.PDF.rar

• MD5: 674a9b5e930b050364b04b8a5a1c3698
• SHA1: 8837178f21e0948850ce4c5ba4f5a1779ea0e858
• SHA256: 8b7e5a040f0e468eb540211a3ac73dadd6628177dc09eaff06bfbce10c6eeab9

Сборки RMS

BUILD14052024.exe

• MD5: 396457dacbfd2a64e92e331fc0fdf668
• SHA1: bed38e377263954e5948193ccd55e8ba59e5372a
• SHA256: 92d65e200d729beac212563a7559fbdc657a4832d462e02dab4d937b5571983c

BLD.exe

• MD5: 68eb514040a2e8de71c3baeda73a532a
• SHA1: 9b4ee2ec7c44ad294b083afbba283a7ca8f200f9
• SHA256: 0576a15f1331d220336163510cc71deb37d1ae0b57ff6ad661c5e547086b57e2

22012024BUILD.exe

• MD5: 2302efee7f01875df7afa6b03301b93e
• SHA1: 02af288ea97c1f2c5cda007556541865614f9651
• SHA256: b2193cb3f8bd13c8a5769d5ce499a36b9c44e2eb2800bcdf22320525beaf9586

2024bldrms.exe

• MD5: 795e591f905ffb771eea7118407e823a
• SHA1: 775ce50b7f006437298dcdd57683f60292ce9a32
• SHA256: 2a82f3e9fc83a6e14c8ff13ed5d450580235981958a7bd262c7ea597e1c94078

BUILD.exe

• MD5: 4c3fbe8680b7884411a9309fd5f83041
• SHA1: 6a8f24a31de20027a9f4ba5b6adf9e661edf7480
• SHA256: 7930b4271172eb69e63349282bfe62a111a6e0a8bc8b23ae8729ab6be006ecf5

Модифицированные библиотеки msimg32.dll

msimg32.dll

• MD5: 2c49f46aceb1c8b62f8c47711b381f5c
• SHA1: b8a9479f9031b7106915d40a0a1ec733e192be0a
• SHA256: 702db5ce9f9ce7af433146796263c795dfdf065b10e914bc54fd23af5d33e793

msimg32.dll

• MD5: 2408a9f118f416e0afafa0a087c13919
• SHA1: 03738a14c114e3943e71d759370d3cf101d3b0be
• SHA256: bf9fc94905d75ccf3640d35899d533e50c7ba8bdce396443ae2d0507657a9e81

msimg32.dll

• MD5: 6ccc365c4292f53b65325a9b72fd29b6
• SHA1: 80b18e38a2ab147e66985767a5b79dda0cdc920f
• SHA256: 892a92ce83ed1c9e67c8f7ab0120d1f28e1dfd3a93146da3fde6e9226e22222b

msimg32.dll

• MD5: 47fe2868fa59d70b1c615b46f02e27a0
• SHA1: 76a60f60240e89d7d2c2546f8f88e6909b13cb3b
• SHA256: f7878a67c6de2ff26c79ab890e4a60b76c67a7583c6a24bd96cd93a5f4a0e0aa

msimg32.dll

• MD5: fc8e27119efd36aa6c0b392ec24c2330
• SHA1: 7748abc3eb9af0cfce0572ad7bed3ff06f952a6d
• SHA256: bbad7c6e8f0d7ae94941257e7ece4d2b144aad56e25760c8876b808f3e8420e6

Исполняемые файлы

16_04_2024_doc_1C.PDF.com

• MD5: 62405fd0301bff88cc14af75572c92c4
• SHA1: 9e3853f0ab22f3de04ff7763610ebb4a3a1e6aff
• SHA256: a5eff95e877e7e5e1b8a57e3169cb6f545ae353ed1908840dabb9554ff001500

Doc_27052024_1c_047856232.com

• MD5: aec2bf913aa709a117324629aa61a06f
• SHA1: cb5b0c2f596d5e8f62d5c9ed07e1f18260acdf03
• SHA256: 90e6c0aed978271769f4fface9a27edbb8d72cd463cfd57b443710aa703a1f98

27052024.exe

• MD5: 822d07d8923b178ccc860507241a27e0
• SHA1: decbf9e9b2893379710687b8db4baac25553e9d7
• SHA256: ab90f80eee37e16cb3c94f524e2fde3fe13669386512ea36b4ad6ac4d9fbf773

doc_7815651a08547.PDF.scr

• MD5: 61a4082007b8319b8b747a3a7ddd447b
• SHA1: 765923456afd71ec15a2b9c6cfbffb043bc1e5ef
• SHA256: c2f97483f8a5a96fa39e8bd3d3458093ac527a8c8efd662e838d95a9bc2354fb

vncrms.exe

• MD5: 2590bce206b06ca1fa45cc216eb8f6b0
• SHA1: 295eb9c2a473ff1538326db149b35e04008ea596
• SHA256: ae9df2b98a9e5561c749cc96a4e24f9d5bb0451889a3924fd7ed73436466495f

kopiya_skrinchot_1C.pdf.scr

• MD5: 41d7820cf6e3b3ce7596d3be4288342f
• SHA1: a2e55e3699e86ecaa4114aca86e91031f7ad68dc
• SHA256: 7a79bb8b4c55f11b463efee0c8cbfaf24c85daac04b67f4f4c25f6851dda57df

rmsvnc.exe

• MD5: cb66d957827558cf1da14a7b1540be18
• SHA1: 1244a28c79de7b7c7397f5528ca61bb70063616c
• SHA256: 20a77d76f250b75309e8ccaf1470d9729dc99b95168085ff30b1e46be6ce2138

docx_1C_02_04_2024.PDF.com

• MD5: b29a40737e23a194b02f26cca6676d6e
• SHA1: f9737d2ada4de632e0213d09fd90d329113918f1
• SHA256: d79d130aa4f0b207e741909c45be613a1e3720cb82a0578012cc508c28da6bad

STILKRIP.exe

• MD5: cd4c9b1f46e779b910cdccc3abbc5926
• SHA1: 9dd6485f1d25bc3f9d6858b9f3b3707cf0901660
• SHA256: ebdce7eae3a77ed05ed6279c46a8be8c560085f82ce0f9e4de0ad8c700c16fc4

Doc20032024.PDF.com

• MD5: 1025ca24a5aee6ae898adf31ac936f82
• SHA1: c39bfe69da4f01c1fdee76bcab255f78953c944a
• SHA256: 1dbce4f525f428cfce626726209ca973f2fdb93cd905a94a1bc538f75e0a16ca

Bzciazly.exe

• MD5: b7caee106dd0930f0d8997847ac20752
• SHA1: 9ac45907fafefd800d3f8bcc3829a6d64d29c488
• SHA256: af8018b310bf030f6feca0f6f23d3e65f8926114d7cd493573badae24f5da0d1

Doc_11032024_1C_98347r483df2grg5tg.com

• MD5: a0cdd68d18c64290d15b212d2d97d2c7
• SHA1: b605d04601280a904de71581901479d7c2b34bf5
• SHA256: ba629f7ee519379f1a5a8a4683ee9a48d1b0996268bfaf1162e4bf0f2b792b77

Akt_09283_1C_oplata.PDF.com

• MD5: 4e0ef11e1d050f98ee93a7d06ea870e0
• SHA1: 7d870123308a441ddcdd98322298df01476a4ed3
• SHA256: 1fd5a9570a894c751610c1b49b2f2f00c0c618d365be14a4980f1266a3772c90

vncrmskript.exe

• MD5: 92e369d9f73725dc37120c07aaa2266e
• SHA1: 932465c82e28ebb3b3959567340f157d3aaf83b2
• SHA256: 3bced24274a35cd08a3698e32623a14a319fbb60f4f9a950d41834710393c32f

doc_034_25_01_2024_1C.PDF.com

• MD5: 7d387e6c53133c0685ea924d384a275d
• SHA1: 0f33cd7f5590b21cbee1903b6d7bf23116b10e4b
• SHA256: 3b8672b2cd5c53f3f4e823ed3873d930b5786a05cc7f2d49b07cb5bda21d933e

Akt_sverka_1C_29022024.PDF.exe

• MD5: 81b461acf35d806e837998e03f998411
• SHA1: b497ec56e8a3237457868c0b3760712f41211307
• SHA256: 5f31759d1ac833df5b990b436dabb88cf3e85ba7495440a62364723bc8490907

MetaKript.exe

• MD5: ad2d13ce6ad39c20cd75864f0a7afe2c
• SHA1: 1d037180c68a2ec137072eca680a606d7371d0ff
• SHA256: 4c88348d1ef0ff6857f48761ac82d8455661849b34e4f4a6bc07a765818361a3

doc_05_03_2024_1C_PDF.exe

• MD5: 6e3328ba891a8325e2ff4e7af7bfc609
• SHA1: 6d0f2e87292b7c030e95eb7835e8cc5c3841ada3
• SHA256: 6e463e3aafb12ec1fd7ff347038b3df15a93b3b2c506c9d670498b0937d6dce7

metakript.exe

• MD5: b6c680597e614011b43f2f038d6a5c63
• SHA1: b6e45d958e870ee770284578a761df9628c2ed36
• SHA256: 5170542754aaa8a8585e4d7c12f77deb7fc0cb24ec6626d53e3fa9997e303e77

Oplata13032024.PDF.exe

• MD5: 18851fd2d0d031743f6bf27201e8a914
• SHA1: 776ac3ff6c2a03cf2a34643baec5d2acc5b453d2
• SHA256: 8e379068eb7e9f9e5635531526dacdc03bf505e67775dd186edba27b33a93805

LoaderVNC.exe

• MD5: 6108c4dfc40c5059db5851144367ada3
• SHA1: adad70901e50be0d5bae17f493bf4b1565cb6113
• SHA256: 6a69e0ebb331aa21614ccc0c4028b5cde242f0710300fe7b441b2017c71a8e16

vncKript.exe

• MD5: 0496ec9393b9228f1cf3439046309cf0
• SHA1: c3f51e15b43b521d2e68efd353849ebd03e937ee
• SHA256: e4a91db9e43655931fd3926ec00dbe8a063fbe0d3f0af7d902fd3b9d8281fb3d

VNCBLD.exe

• MD5: abb08e75460981a042d68990b90416e6
• SHA1: 8f54ccc1f2256516d146e2e709d75e949fdf6695
• SHA256: 05406c5e034be68b6514fc3ae1b31f603ec7d1865963fe0716ed48605af0fd98

doc24.04.2024_1C.pdf.exe

• MD5: e29390d236e45d2eff2511d5cc945848
• SHA1: 262a18976fa412c22b37c726e74b9e3032da5d86
• SHA256: 2bcfbb053ec4936bded589848b8429cd37b0a7bf5bf85e5e3ace494f4512bfa9

MITRE ATT&CK