Помните пост о новых атаках Buhtrap на российские компании? Тема-то еще не закрыта. Обнаружив троян Buhtrap RAT в архиве, который оказался на устройстве жертвы, эксперты Центра кибербезопасности F.A.C.C.T. провели дополнительный анализ исполняемого экземпляра. Что из этого вышло — читайте в нашем новом блоге.

В ходе исследования инцидента, связанного с загрузкой вредоносного объекта на устройство одного из клиентов, экспертами Центра кибербезопаcности компании F.A.C.C.T. были обнаружены детали его распространения: вредоносный экземпляр, находящийся в архиве, был атрибутирован в системе F.A.C.C.T. Managed XDR как Buhtrap RAT.

СПРАВКА:

Buhtrap — название ВПО и преступной группы, которая изначально его использовала в своих атаках. Первые атаки на финансовые учреждения были зафиксированы еще в августе 2015 года. Основным вектором проникновения в корпоративные сети на тот момент были фишинговые письма от имени Банка России или его представителей. Позже для заражения финансистов или юристов стали использоваться взломанные или фейковые профильные бухгалтерские веб-ресурсы, где под видом загрузки бланков или шаблонов различных документов происходила первая стадия заражения ВПО. Ущерб от атак группы Buhtrap, который фиксировали наши эксперты в 2020−2022 годах, оценивался как минимум в 2 млрд рублей, а глобальный ущерб от Buhtrap за все годы его активности достигал примерно 6−7 млрд рублей. Последняя активность Buhtrap была замечена в апреле 2023 года.

Рис. 1. Скриншот алерта с атрибуцией Buhtrap в системе F.A.C.C.T. Managed XDR
Рис. 1. Скриншот алерта с атрибуцией Buhtrap в системе F.A.C.C.T. Managed XDR

Этап анализа ВПО

После обнаружения инцидента экспертами Центра кибербезопасности был инициирован дополнительный анализ исполняемого экземпляра, находящегося в архиве. Для этих целей использовалось решение MDP — платформа детонации вредоносных программ, входящей в комплекс системы F.A.C.C.T. Managed XDR.

 Рис. 2. Результат детонации в Malware Detonation Platform.

В zip-архиве находится лоадер первой стадии под названием Документ № [0-9].exe.

Рис. 3. Структура архива.
Рис. 3. Структура архива.

При запуске исполняемого файла распаковывался дроппер второй стадии, который запускал процесс Wordpad.exe с пустым документом. Следующая стадия начиналась только после того, как пользователь закроет окно wordpad – эта техника используется для обхода песочниц.

Рис. 4. Wordpad.
Рис. 4. Wordpad.

Buhtrap RAT сохранялся на диск и прописывался в автозагрузку, а именно в ключе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run, путь до RAT: %userprofile%\AppData\Local\%dir_name%\%samplename%.exe. Имя директории и имя RAT случайно генерируемые на латинице.

Рис. 5. Закрепление в реестре.
Рис. 5. Закрепление в реестре.

В данной кампании в качестве Buhtrap RAT используется исполняемый exe-файл, в то время как в кампании 2023 года он являлся dll-файлом, который распаковывался и запускался в памяти процесса rundll32.exe.

Рис. 6. Pakuqa.exe – Buhtrap RAT.
Рис. 6. Pakuqa.exe – Buhtrap RAT.

Полный разбор атаки Buhtrap и индикаторы компрометации читайте в новом блоге.

Комментарии (1)


  1. 321785
    08.10.2024 12:07

    Фантастика какая-то. В копропративной среде разрешён запуск неподписанного и/или не внесённого в список исключений по хешу файла?!