Разбор новых атак Buhtrap на российских финансистов и юристов
Помните пост о новых атаках Buhtrap на российские компании? Тема-то еще не закрыта. Обнаружив троян Buhtrap RAT в архиве, который оказался на устройстве жертвы, эксперты Центра кибербезопасности F.A. C.C.T. провели дополнительный анализ исполняемого экземпляра. Что из этого вышло — читайте в нашем новом блоге.
В ходе исследования инцидента, связанного с загрузкой вредоносного объекта на устройство одного из клиентов, экспертами Центра кибербезопаcности компании F.A. C.C.T. были обнаружены детали его распространения: вредоносный экземпляр, находящийся в архиве, был атрибутирован в системе F.A. C.C.T. Managed XDR как Buhtrap RAT.
СПРАВКА:
Buhtrap — название ВПО и преступной группы, которая изначально его использовала в своих атаках. Первые атаки на финансовые учреждения были зафиксированы еще в августе 2015 года. Основным вектором проникновения в корпоративные сети на тот момент были фишинговые письма от имени Банка России или его представителей. Позже для заражения финансистов или юристов стали использоваться взломанные или фейковые профильные бухгалтерские веб-ресурсы, где под видом загрузки бланков или шаблонов различных документов происходила первая стадия заражения ВПО. Ущерб от атак группы Buhtrap, который фиксировали наши эксперты в 2020−2022 годах, оценивался как минимум в 2 млрд рублей, а глобальный ущерб от Buhtrap за все годы его активности достигал примерно 6−7 млрд рублей. Последняя активность Buhtrap была замечена в апреле 2023 года.
Рис. 1. Скриншот алерта с атрибуцией Buhtrap в системе F.A. C.C.T. Managed XDR
Этап анализа ВПО
После обнаружения инцидента экспертами Центра кибербезопасности был инициирован дополнительный анализ исполняемого экземпляра, находящегося в архиве. Для этих целей использовалось решение MDP — платформа детонации вредоносных программ, входящей в комплекс системы F.A. C.C.T. Managed XDR.
В zip-архиве находится лоадер первой стадии под названием Документ № [0–9].exe.
Рис. 3. Структура архива.
При запуске исполняемого файла распаковывался дроппер второй стадии, который запускал процесс Wordpad.exe с пустым документом. Следующая стадия начиналась только после того, как пользователь закроет окно wordpad — эта техника используется для обхода песочниц.
Рис. 4. Wordpad.
Buhtrap RAT сохранялся на диск и прописывался в автозагрузку, а именно в ключе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run, путь до RAT: %userprofile%\AppData\Local\%dir_name%\%samplename%.exe. Имя директории и имя RAT случайно генерируемые на латинице.
Рис. 5. Закрепление в реестре.
В данной кампании в качестве Buhtrap RAT используется исполняемый exe-файл, в то время как в кампании 2023 года он являлся dll-файлом, который распаковывался и запускался в памяти процесса rundll32.exe.
Рис. 6. Pakuqa.exe — Buhtrap RAT.
Полный разбор атаки Buhtrap и индикаторы компрометации читайте в новом блоге.