Главная страница » Индикаторы компрометации
0
2 дня
Индикаторы компрометации

Киберпреступник VasyGrek продолжает атаки на российские компании с обновленными методами

APT

Аналитики компании F6 опубликовали результаты мониторинга активности русскоязычного злоумышленника VasyGrek за период с августа по ноябрь 2025 года. Согласно отчету, киберпреступник не только продолжил свои атаки, но и значительно модернизировал инструментарий и тактики проникновения в системы российских организаций.

Описание

VasyGrek, также известный под псевдонимом Fluffy Wolf, ведет противоправную деятельность с 2016 года. Его основная специализация - целевые фишинговые рассылки против российских компаний из различных отраслей экономики. После публикации предыдущего исследования F6 в июле 2024 года злоумышленник прекратил сотрудничество с поставщиком вредоносного ПО Mr.Burns, но продолжил атаки с использованием инструментов другого разработчика - PureCoder.

В течение рассматриваемого периода VasyGrek атаковал организации из промышленности, строительства, энергетики, сельского хозяйства, безопасности, торговли, финансов, информационных технологий, медиа и развлечений. Особенностью его подхода стало использование электронных адресов с доменами .ru и .su для имитации легитимной переписки от имени реальных российских компаний.

Аналитики отмечают эволюцию цепочек заражения. До ноября 2025 года злоумышленник использовал архивы с исполняемыми файлами, которые доставлялись через вложения в письмах или ссылки на репозитории GitHub. Однако в ноябре тактика изменилась - теперь в качестве вложений стали использоваться архивы с файлами BAT и VBS. Это демонстрирует адаптацию к мерам безопасности и поиск новых способов обхода защитных механизмов.

В арсенале VasyGrek сохранились инструменты PureCoder: PureCrypter (загрузчик), PureHVNC (удаленный доступ) и PureLogs Stealer (похититель данных). При этом в некоторых атаках дополнительно использовался шифровальщик Pay2Key, основанный на известном ransomware Mimic и распространяемый по модели RaaS (Ransomware as a Service).

Инфраструктура злоумышленника демонстрирует продуманный подход. VasyGrek продолжает регистрировать новые домены с определенными паттернами поведения, что позволило аналитикам F6 создать правила для выявления его сетевой инфраструктуры еще до начала активного использования. На этих доменах размещаются страницы, замаскированные под бухгалтерские услуги и ресурсы финансовых организаций.

Особый интерес представляет анализ новой цепочки атаки от 13 ноября 2025 года. В этой схеме используется файл VBS, который загружает изображение с скрытой полезной нагрузкой. Далее следует сложный процесс дешифровки и внедрения вредоносного кода в легитимные процессы, в частности, в RegAsm.exe. Конечной полезной нагрузкой в этой цепочке выступает PureHVNC, обеспечивающий злоумышленнику удаленный доступ к системе.

Примечательно, что использованный загрузчик ранее наблюдался в арсенале группы Sticky Werewolf, однако атрибуция к VasyGrek подтверждена на основе формата фишинговых писем, связей с доменами злоумышленника и характеристик конечной полезной нагрузки.

Эксперты F6 подчеркивают, что VasyGrek представляет собой устойчивую многолетнюю угрозу для российского бизнеса. Его способность адаптироваться к изменяющимся условиям и обновлять инструментарий требует от организаций повышенного внимания к вопросам кибербезопасности. Рекомендуется регулярное обучение сотрудников, внедрение современных средств обнаружения угроз и тщательный мониторинг сетевой активности.

Индикаторы компрометации

IPv4 Port Combinations

  • 195.26.225.113:14503
  • 195.26.225.113:2103
  • 195.26.225.113:33523
  • 195.26.225.113:55601
  • 195.26.225.113:55602
  • 195.26.225.113:55603
  • 195.26.225.113:56001
  • 195.26.225.113:7727
  • 195.26.227.209:1384
  • 195.26.227.209:15064
  • 195.26.227.209:2105
  • 195.26.227.209:22045
  • 195.26.227.209:2803
  • 195.26.227.209:5403
  • 195.26.227.209:5444
  • 195.26.227.209:56001
  • 195.26.227.209:56002
  • 195.26.227.209:56003
  • 195.26.227.209:7203
  • 195.26.227.209:7705

Domains

  • 1c-buh-akt.ru
  • aktsverka1cwww.su
  • buhgalteriya1c.moscow
  • buhgalteriya1c.online
  • buhgalteriya1c.website
  • docbuh.fun
  • docbuh.online
  • docbuh.ru
  • jump-finance.online
  • jump-finance.tech

URLs

  • https://1c-buh-akt.ru/doc_21102025_kopiya_1C_PDF.rar
  • https://1c-buh-akt.ru/panel/uploads/Ayjjzmx.mp3
  • https://1c-buh-akt.ru/panel/uploads/Jymrjniajz.mp4
  • https://1c-buh-akt.ru/panel/uploads/Nyltryq.dat
  • https://1c-buh-akt.ru/panel/uploads/Rqcemqysy.vdf
  • https://1c-buh-akt.ru/panel/uploads/Rxqsjpi.mp3
  • https://1c-buh-akt.ru/panel/uploads/Ubdbvdpjhmv.mp4
  • https://1c-buh-akt.ru/panel/uploads/Vfkmyhtt.pdf
  • https://1c-buh-akt.ru/panel/uploads/Ztdef.mp3
  • https://1c-buh-akt.ru/VC13112025upload.txt
  • https://1c-buh-akt.ru/VCkrip.exe
  • https://aktsverka1cwww.su/kriptoPRO.exe
  • https://aktsverka1cwww.su/oplata_1C_buh_15102025_PDF.rar
  • https://aktsverka1cwww.su/vc13krips.exe
  • https://aktsverka1cwww.su/vcKKKKKKKrip.exe
  • https://aktsverka1cwww.su/vcKrip15.exe
  • https://buhgalteriya1c.moscow/akt_BUH_1C_PDF.rar
  • https://buhgalteriya1c.moscow/encryptor.exe
  • https://buhgalteriya1c.moscow/panel/uploads/Afisr.mp3
  • https://buhgalteriya1c.moscow/panel/uploads/Auvmrm.mp3
  • https://buhgalteriya1c.moscow/panel/uploads/Czgsiy.pdf
  • https://buhgalteriya1c.moscow/panel/uploads/Fyfoxv.vdf
  • https://buhgalteriya1c.moscow/panel/uploads/Isozfh.wav
  • https://buhgalteriya1c.moscow/panel/uploads/Odfygzr.dat
  • https://buhgalteriya1c.moscow/panel/uploads/Qyvvt.mp4
  • https://buhgalteriya1c.moscow/panel/uploads/Wcumbhc.wav
  • https://buhgalteriya1c.online/1C_doc_17092025_PDF.pif
  • https://buhgalteriya1c.online/doc_18092025_kopiya_PDF_www.rar
  • https://buhgalteriya1c.online/hostVnc.exe
  • https://buhgalteriya1c.website/doc_26092025_1C_655d5fsdfds_PDF.rar
  • https://docbuh.fun/panel/uploads/Wqddwm.mp3
  • https://docbuh.fun/panel/uploads/Ylevwh.wav
  • https://docbuh.online/panel/uploads/Gndpbnfiwe.vdf
  • https://docbuh.online/panel/uploads/Mxbljgkod.vdf
  • https://docbuh.online/vncserver.exe
  • https://docbuh.ru/kopiya_doc_07102025_dfdfsfg5rew5rgr5grew_PDF.rar
  • https://github.com/dekorplyus11/777/raw/refs/heads/main/akt_sverka_30092025.rar
  • https://github.com/Mts123stm/22081/raw/refs/heads/main/doc_028389932ddfp34r4jkk32e2_www_pdf.rar
  • https://github.com/selmatanya/buh2025/raw/refs/heads/main/OOO_1C_kopiya_PP_29_10_2025_PDF.rar
  • https://github.com/zverdanya24/buh/raw/refs/heads/main/1C_akt_Buh_27082025_PDF.rar
  • https://github.com/zverdanya24/buh/raw/refs/heads/main/vnc27krip.exe
  • https://jump-finance.online/akt_sverki_1C_9856665_PDF.rar
  • https://jump-finance.tech/buh_1C_Doc_0487563232_www_PDF.rar
  • https://jump-finance.tech/doc_028389932ddfp34r4jkk32e2_www_pdf.rar
  • https://jump-finance.tech/doc_1C_akt_085698554_PDF.pif
  • https://jump-finance.tech/kopiya_pp_Buh_1C_PDF.rar
  • https://jump-finance.tech/panel/uploads/Ipgeyghzc.pdf
  • https://jump-finance.tech/PDF_doc_1C_Buh04866266dwde5f6rfvrregfe5fef.rar
  • https://raw.githubusercontent.com/ahedsalah88-cyber/file/30ea07d56404ec5d97060cb9719acb756b2ed1f1/pic.jpg?12711343
  • https://raw.githubusercontent.com/zverdanya24/buh/refs/heads/main/vnc27krip.exe
  • https://vvvpmscvtlhcjbybrwjg.supabase.co/storage/v1/object/public/sudo/image.jpg?12711343

SHA1

  • 02566cbc6c3a29c684f2828df412e403e0ce0ab9
  • 0a247db9f32de13545139613a0af42df65e78173
  • 0e80af7046e8c05f23f3c42e09abc2025d730f8b
  • 0fe1e803bf39a794453e36dafa2593f0cb617ff8
  • 102c76a8576baf1f93ddeced0065e335d7f0f04f
  • 1139016fca312c0adde1718d745c7e1f9f4198dc
  • 14532f05248f4484abb78fb3b7ece6f59082571d
  • 19a7196ede2a7d8242b1f2d395316200d20e3621
  • 21cf3e047b16a2e393f66802623efc158a7e7dd6
  • 23bdd254caf9de4ed036d9271d75eda6f8c3a545
  • 25074b3a30ed36d3d0a4f5ece8191a845e465496
  • 2632a376de234c119017e577e8c66172f6f34601
  • 2cc660cd3f15fe51cdbda7c41ff5bce7621b7f93
  • 2d666aaed718d54fd4d28da683376fb1e8c862ee
  • 2f9847a820632b6077bb477e8afb2623741107ae
  • 2fa6f0ebb0ca0aff3c74d409b5ce4f63a00ddeae
  • 30fab82c082823c7052c167d46462fffc73e0ea9
  • 360b7e9fe48fe6c2dcf803f0f664b7e4168323ab
  • 3746a50425547ce35e761448747559e232864be4
  • 38a9cd803b1de9a378506fe46a30e91804d8f8e1
  • 3c8b1525c2b474d4a13a9631d5d1a97b50e269a4
  • 431b28cdd938495e7d40b6a6a3e736023ce3bf6c
  • 43332536cf84acde72cdaf9fafbadf4422497930
  • 44565b62af2994620f15430f00df45815c5fdcc0
  • 46b824005e72182eb72c689042301e471310f482
  • 4885ea29cfcedc878169c5ffbbbcd0287cf0f9a7
  • 4895c53dac84963e5a28b7898e9bb27902afefce
  • 4b3e1ab88b8ce00c755c01757d74dd5e39d7f045
  • 4c9c1ee8a1db381d7287257fa8137acf28426b55
  • 4dc6f7787be32f1cd0fe1090c687356cddf4c6df
  • 502bdf389fc73d135bf144a77704bdf5260c7708
  • 54dd082ebb2f55114c304dfb21fe14df7fcfca5e
  • 5a216bef71d8fd3e8244c7b660fabc1d63b8ef2b
  • 5c16ab36f9ed396eb92aa4e4a1a4191650a9a392
  • 5c626a094b542517943074401f728c768aeb9d70
  • 5c6d73fde4a622e5d82dec6530d22f93dabeaafa
  • 5e82d4232241f665d4a38dda93e3440ad387189d
  • 66531fc5ddcf43fc8a145e2b8131cbcacc645ca2
  • 66a8867670168b1e0f36fe5cb1125f47245614fb
  • 741db52873b3091a1e1b195bddaea2587ed11e54
  • 749519e3fe8550e0a8540d27008476c4eb68cc6b
  • 759a565c9cbd0c619b195c083575309ac92007d6
  • 77df4d25256cc68d764f54862b4ac93e5de0e12f
  • 7805379668b738a0e283b4b5ab46dbef9fa3ad8c
  • 785d7f52cf47af37d2cb7e9fbde9d746edb96aad
  • 79735b4e21394aa9aeca90919128de245232daaa
  • 7dfc8e50232195d09c8e8cd2656d633fca55e83c
  • 7e26fd9a1f41c240df52882092305ae90c135301
  • 8588c5204d4556da31f81a9efb851944ba436bb9
  • 8938abda904c5cee07248b2e764074b0744a5a95
  • 8979f4be92aa96d9289d0664260852a5ce0fc0d9
  • 8c8f60a0e811f63cd2b83e821c6d9376aea40565
  • 8ff581830f0ed9f4690fb083543bc3831ec24e04
  • 917793fb759a139f1be189e0018853ec0bb04641
  • 91bb0f2cced2b13440208634574c171357d2fe3d
  • 9a8d370a3dcab6afc3292633812bbd222a8493ab
  • 9e42b9bb5f0284e8419971a4fca0e07d226718c4
  • a07710d7189f615c3f529025a2adf1a5fbf0b63c
  • a3a0823d1ab1f848b75c8a8b9ae547f7fd38dd8d
  • b146d7ec50d47d693c7d310450fd39249ee19bc5
  • b3da4166134a41a73fa22dbbfd701fc8e9ae03d5
  • b54bff088b6f456b19be1d7a8e50f5bec825b217
  • b582723b6cec4e446a0bf603ff46c20e98c83879
  • b966d21cae3d4b4e6b0dfac462abfdc627421433
  • ba09d21ee55ec671b8132c938c50f2fb997c3966
  • bc736356358f73d087786655ca7c9f7a239bb15a
  • c29045805d780cbb9b66ee1d4e3c749b679f1a14
  • c46ec319fe9e3d3939866c43c28f2be88ec7590c
  • c512a553d2a041f3e316b907b33732e6322d2688
  • c5eedb7c4929ca1ce319c6aab7f9179852389cba
  • c845b19e1b01f2245445f3ae4d9c845693802958
  • c8c9afb9f9d1a8b3c7908bfd572ff5ec62dff5a4
  • d0200719c989096d76003cb8afd62ae3124cda69
  • d680686b6ddefc2cb9fca9463701249096de48e4
  • d6aeebe05bed4ccdf55c7e48cb3b91c03bf79d1e
  • db546655a1df9c8e043611237081243ee1fb05b3
  • ddb02fd8e053c0eca6977225f0684671a42b232a
  • e162ab0fdeff5f2ddb747f508a041853ccd764cb
  • e58878f232491553fbcd1809d5a675fc5c455a40
  • e5c8bfca57de2719dc99a2dead810f9c328ec663
  • e63422b4d7e9120dbac8333aa93a302346278e18
  • e6ae0307c655c1975de037547af1ad8139075287
  • e70f22c612fb5402a6c89250ec5234eb43119b07
  • edbd8f727dcc162fb49dcb6d20695f5830f706b3
  • f4a34aee575bd2fd48069806c96b3d407b1b0321
  • f5e1b3bc4478775000ad2ac4b41bd7fa4fba83c2
Комментарии: 0
Похожие записи
0
04.11.2025
Индикаторы компрометации

Эксперты обнаружили усовершенствованную версию Android-трояна DeliveryRAT с функциями DDoS-атак и кражей финансовых данных

remote access Trojan
Специалисты компании F6 Threat Intelligence провели анализ обновленной версии вредоносного программного обеспечения (ВПО) DeliveryRAT для Android, которая активно распространяется злоумышленниками во второй половине 2025 года.
0
23.06.2025
Индикаторы компрометации

Кибергруппа Room155: как хакеры атакуют российские компании с помощью фишинга и вредоносного ПО

APT
В мире кибербезопасности нет ничего тайного, что не стало бы явным. Даже самые изощренные злоумышленники, меняющие инфраструктуру и инструменты, оставляют следы, которые позволяют экспертам раскрывать их деятельность.
0
27.02.2025
Индикаторы компрометации

ReaverBits APT IOCs - Part 2

security
ReaverBits - это киберпреступная группировка, которая в основном атакует российские компании в различных отраслях, таких как биотехнологии, розничная торговля, агробизнес, телекоммуникации и финансы.
0
04.06.2025
Индикаторы компрометации

Модифицированный DarkWatchman атакует российские корпорации: следы Hive0117 обнаружены в масштабной кампании

security
Эксперты по кибербезопасности зафиксировали новую волну атак на российские предприятия. Примечательно, что в центре событий оказалась модифицированная версия вредоносного ПО DarkWatchman.