После некоторого перерыва преступники, использующие троян Buhtrap, вновь начали проводить кампании, направленные на российских финансистов и юристов. Центр кибербезопасности F.A.C.C.T. недавно обнаружил подробности о распространении вредоносного экземпляра, который был приписан Buhtrap Remote Access Trojan (RAT).
Buhtrap RAT
Первые атаки этой преступной группы начались в августе 2015 года, в основном с использованием фишинговых писем, выдающих себя за Банк России или его представителей. Со временем они стали заражать финансистов и юристов через взломанные или поддельные бухгалтерские веб-ресурсы. В период с 2020 по 2022 год ущерб от атак Buhtrap оценивался не менее чем в 2 миллиарда рублей, а общий глобальный ущерб - в 6-7 миллиардов рублей. Последняя активность Buhtrap была отмечена в апреле 2023 года.
В ответ на инцидент специалисты Центра кибербезопасности F.A.C.C.T. провели тщательный анализ экземпляра вредоносного исполняемого файла. Для изучения поведения вредоносного ПО они использовали платформу Malware Detonation Platform (MDP), являющуюся частью системы F.A.C.C.T. Managed XDR. В ходе расследования выяснилось, что Buhtrap RAT сохранялась на диске и записывалась в автозагрузку в реестре. В качестве Buhtrap RAT в кампании использовался исполняемый exe-файл, в то время как в предыдущей кампании 2023 года использовался dll-файл, запускаемый в памяти процесса rundll32.exe.
Чтобы убедиться в отсутствии заражения, компания F.A.C.C.T. провела мониторинг устройства и собрала дополнительные данные с помощью своего агента Endpoint Detection and Response (EDR). Специалисты убедились, что вредоносный экземпляр не запущен на устройстве, и проверили наличие связи с командными центрами. Исследование подтвердило, что устройство не было заражено Buhtrap.
Дальнейшее исследование показало, что вредоносный архив был загружен пользователем через веб-браузер. Пользователь искал шаблон документа в поисковой системе «Яндекс» и попал на скомпрометированный веб-ресурс, что привело к загрузке вредоносного архива. F.A.C.C.T. поделилась этой информацией с клиентом, и был начат анализ ресурсов, задействованных в распространении Buhtrap.
Инфраструктура распространения текущей кампании напоминала ту, что использовалась в период с марта по апрель 2023 года. Для обмана жертв были созданы сайты-приманки, выдававшие себя за профильные ресурсы для бухгалтеров и юристов. В последней кампании использовались три веб-ресурса: астражур[.]рф, фин-баланс[.]рф и фин-баланс[.]рф. Эти сайты были зарегистрированы в июле 2024 года.
Таким образом, после года относительного затишья криминальная деятельность, связанная с Buhtrap RAT, вновь дала о себе знать. Российские финансисты и юристы вновь стали объектом новой кампании. Центр кибербезопасности F.A.C.C.T. изучает распространение и поведение вредоносной программы, получая информацию об используемых методах и инфраструктуре. Бдительный мониторинг и меры реагирования помогли предотвратить заражение и уменьшить потенциальный ущерб.
Indicators of Compromise
Domains
- xn--80aaace8ajsmbgf2bi5a3j.xn--p1ai
- xn--80aay4abdedf0j.xn--p1ai
- xn--80akaaahlm1aadgc3a5j.xn--p1ai
- xn--8sbac7avkf0bv.xn--p1ai
- астражур.рф
- фин-баланс.рф
URLs
- https://boxofwe.homes/images/logo.png
- https://why2has.quest/images/bg.png
MD5
- 7116e78a0bb29e00d248794616314535
- e1824c646335b087945e265ca9dc3a9a
