Вредонос Buhtrap распространялся через "Диадок"

Киберпреступники заразили компьютер одного из пользователей Диадока и через его аккаунт начали автоматическую рассылку вредоносных архивов. Получатели, доверяя отправителю, открывали ZIP-файлы, что приводило к заражению их систем. Троян, обнаруженный Лабораторией Касперского как HEUR:Trojan.Win32.Agentb.gen, позволял злоумышленникам удаленно управлять компьютерами жертв.

Первое сообщение появилось в официальном Telegram-канале "Диадока" 7 августа в 09:15 мск. В нем утверждалось, что злоумышленники, заразив компьютер одного из пользователей, начали автоматическую рассылку вредоносных zip-архивов контрагентам через функционал ЭДО. СКБ Контур сразу подчеркнул, что сам сервис не подвергся взлому, данные клиентов остаются в безопасности, а распространение вируса остановлено. Ключевым тезисом стало заявление, что на момент атаки вредонос не распознавался стандартными антивирусами.

Однако спустя 11 часов, в 20:03, в уточняющем сообщении компания предоставила противоречивые детали. Вредонос идентифицирован как Buhtrap, а решение "Лаборатории Касперского" детектирует его как HEUR:Trojan.Win32.Agentb.gen. Ссылка на анализ в VirusTotal подтверждала, что к моменту публикации первого поста многие антивирусы, включая Dr.Web, уже определяли угрозу по уверенным сигнатурным срабатываниям (например, Trojan-Spy.Win32.Agent.gen, GenKryptik, Wacatac). Это ставит под вопрос первоначальный тезис о недетектировании, вызывая недоумение, почему в критический первый час не были немедленно опубликованы конкретные индикаторы компрометации - хеши файлов или названия архивов. Данные появились лишь во втором сообщении, что ограничило возможности SOC клиентов для оперативного реагирования.

Хронология событий также вызывает вопросы. Хотя во втором сообщении СКБ Контур указал дату начала рассылки - 6 августа, уже в 10:51 7 августа в комментариях к первому посту "Диадок" рекомендовал проверять все документы, поступившие с 5 августа. Один из четырех вредоносных файлов, чьи хеши позднее опубликовала компания, имел метку времени модификации содержимого "5 августа 15:48:46-15:48:48" по МСК. Это порождает версии о более раннем старте атаки или о том, что на момент уведомления у СКБ Контур были лишь фрагментарные данные от клиентов и логов. Промежуток между потенциальным началом инцидента и публикацией полезных для защиты деталей составил почти сутки, что критично для сдерживания эпидемии.

Наиболее значимая неясность - технический механизм распространения. "Диадок" настаивает, что использовалась "стандартная возможность продукта - отправка документов из веб-приложения", а сервис не взломан. Однако компания не объяснила, как троян получил возможность формировать, подписывать ЭП и отправлять документы от имени легитимного пользователя. В неофициальных комментариях представители СКБ Контур предполагали, что Buhtrap, известный кражей средств через ДБО, мог использовать CryptoAPI для работы с криптопровайдером (например, КриптоПро) при отсутствии защиты ключа PIN-кодом. Теоретически, через библиотеки CRYPTBASE.dll и CRYPTSP.dll вредонос может находить сертификаты, запрашивать подпись файла без взаимодействия с пользователем, если ключевой контейнер не требует интерактивного ввода. Однако анализ образцов в VirusTotal не зафиксировал явных криптопровайдеров или работы с контейнерами ключей, что оставляет пространство для альтернативных версий - например, использования API "Диадока", захвата активной сессии или отправки без подписи. Отсутствие четкого ответа от разработчика заставляет экспертов строить предположения, потенциально худшие, чем реальность.

Система безопасности самого "Диадока" также оказалась в фокусе внимания. В описании мер ИБ на сайте сервиса упоминаются аутентификация по сертификату, использование КриптоПро, межсетевые экраны, IDS, защита от DDoS и регулярные пентесты, но средства проверки передаваемых/хранимых файлов на вредоносный код не указаны. Во втором сообщении компания отметила, что "средства и системы обнаружения вредоносного ПО были актуализированы", но не уточнила их характер и не объяснила, почему они не предотвратили инцидент изначально. Фраза об "актуализации" может указывать на их донастройку уже постфактум.

Заявления о полной остановке распространения к утру 7 августа также требуют контекста. Второе сообщение упоминает "непрерывный контроль" и "выборочное ограничение функциональности", что намекает на более длительные и сложные работы по нейтрализации угрозы, чем первоначально декларировалось. Какую именно функциональность пришлось ограничить и почему - не раскрывается.

Инцидент высветил уязвимость даже защищенных ЭДО-систем, использующих криптографию, когда компрометации подвергается рабочая станция пользователя. Однако недостаточная прозрачность СКБ Контур в раскрытии деталей - запаздывание с индикаторами, нечеткая хронология, умолчание о техническом векторе атаки - затрудняет полноценный анализ рисков и выработку мер защиты другими операторами ЭДО и их клиентами. Пока ключевой вопрос "Как именно это произошло?" остается без официального и детального ответа.

IPv4

• 95.181.226.238

Domains

• boxofwe.homes
• kogama.rest
• maxboth.click
• minboth.click
• techbb.site

MD5

• f9713e7477d86e7350a29d85351be081

SHA1

• 3deaa10f2ff00aac829ea57e37ef7db80e6d36db

SHA256

• 34ca42e851acefa46a36ad01ab8f28e51f832a6c22622ab49d767caee75b8d2c
• 5c5a48c2d0f1b9695a0593b543f26b29e7e3612692e06d051f5c8b7ed00c27ef
• 9f4403cd493e7cc5980545f150ce9188817544db78e82413915c52031f51e857
• a5d1d8ebf0efe272a7779ac26a8aba3b1d69a0b4678a37cc14287cd4d7273b16
• c0461c68ad96bc01a7c31d5ad5fec48ee0db3e2112a10bb61ce38e1b8c8fbaaa
• ca2ce4314672f79da759971b9196bf76c873d3ebd6627027ccdb868f1f090dc9