25.11.2025 11:21
EditorF6 0 161 Источник

В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns. После публикации F6 VasyGrek прекратил сотрудничество с этим поставщиком вредоносных программ.

Аналитики департамента киберразведки F6 продолжили отслеживать атаки злоумышленника, который не прекращал свою активность и осуществлял новые фишинговые рассылки в адрес российских организаций. Целью киберпреступника был доступ к конфиденциальным данным для их дальнейшего использования. Как правило, VasyGrek применял вредоносное ПО, разработанное пользователем хак-форумов PureCoder. Также специалисты F6 заметили, что в некоторых атаках в дополнение к ВПО от PureCoder шел шифровальщик Pay2Key.

В новом блоге аналитики F6 рассказали об инструментах и атаках VasyGrek в августе-ноябре 2025 года с техническими деталями и индикаторами компрометации.

VasyGrek и его инвентарь

VasyGrek (Fluffy Wolf) — русскоязычный злоумышленник, атакующий российские компании из различных сфер экономики как минимум с 2016 года. Кибератаки проводились с использованием вредоносного программного обеспечения через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций.

В разные периоды VasyGrek использовал вредоносные модификации легитимных программ для удаленного управления RMS и TeamViewer, разработанные злоумышленником Mr.Burns и классифицируемые как семейство BurnsRAT, а также стилеры RedLine и META, троян AveMaria и ВПО разработчика PureCoder (PureCrypter, PureHVNC (PureRAT), PureLogs Stealer).

После публикации в июле 2024 года блога F6 Threat Intelligence с исследованием активности злоумышленника и его сотрудничества с продавцом ВПО Mr.Burns, VasyGrek перестал использовать BurnsRAT, но в целом цепочки заражений из атак злоумышленника с того момента по октябрь 2025 года не претерпевали существенных изменений. Он по-прежнему рассылал фишинговые письма, в которых вредоносный файл доставлялся потенциальной жертве как в виде вложения, так и по ссылкам на репозитории GitHub или на домены, регистрируемые VasyGrek. Вредоносный файл представлял собой архив с исполняемым файлом внутри или сразу исполняемый файл ВПО PureCrypter, которое имеет возможность доставлять на систему жертвы последующие стадии и внедрять полезные нагрузки в нужные процессы. Стадии могли как загружаться с внешних ресурсов, так и храниться локально в зашифрованном виде. VasyGrek отдавал предпочтение инструментам от разработчика PureCoder (PureHVNC, PureLogs Stealer), но иногда к ним в дополнение шла нетипичная полезная нагрузка. Например, в ряде случаев было обнаружено ВПО Pay2Key.

В ноябре было замечено изменение цепочек заражения злоумышленника: в качестве вложений писем вместо архивов с исполняемыми файлами внутри стали использоваться архивы с файлами BAT и VBS. В цепочке с файлом VBS конечной полезной нагрузкой было ВПО PureHVNC, но для его доставки вместо привычного PureCrypter использовался другой загрузчик. Подробный разбор новой цепочки будет рассмотрен в статье в соответствующем разделе.

Ниже представлена краткая справка по инструментарию, используемому в атаках VasyGrek в августе-ноябре 2025 года.

PureCrypter, PureHVNC и PureLogs Stealer – инструменты, разработанные и продаваемые пользователем хак-форумов с псевдонимом PureCoder.

PureCrypter – ВПО, продаваемое с марта 2021 года, которое было классифицировано как Downloader. В его функциональные возможности входит загрузка/извлечение следующих стадий, а также запуск определенных стадий в контексте собственного процесса.

ВПО PureHVNC начало продаваться на хак-форумах с декабря 2021 года. PureHVNC позволяет собирать телеметрию, сохраненные данные приложений ПК, отправлять их на подконтрольный злоумышленнику сервер, закрепляться в системе, загружать/исполнять в памяти сторонние модули.

PureLogs – вредоносное программное обеспечение класса stealer, разработанное на .NET. Начало продаж – июнь 2022 года. Функционал ВПО позволяет осуществлять хищение данных браузера, криптокошельков и различных приложений, установленных в системе, таких как FTP-клиенты, почтовые клиенты и VPN.

Pay2Key – вымогательский сервис, активизировавшийся с начала 2025 года на теневых форумах, распространяемый как RaaS (Ransomware as a Service) и построенный на базе известного шифровальщика Mimic. Более подробная информация о данном сервисе доступна в блоге F6.

Атаки в августе-ноябре 2025 года

Приведем детали и индикаторы компрометации из атак VasyGrek за август-ноябрь 2025 года. За этот период VasyGrek атаковал российские компании из следующих сфер деятельности: промышленность, строительство, энергетика, сельское хозяйство, безопасность, торговля, финансы, информационные технологии, медиа, развлечения.

В качестве отправителей писем фигурировали электронные адреса с доменами верхнего уровня .ru, .su, что было сделано злоумышленником с целью имитации активности от имени существующих российских организаций.

На скриншотах ниже представлены примеры разных писем злоумышленника: со ссылкой на вредоносный файл, хранящийся на GitHub, со ссылкой на вредоносный файл, хранящийся на домене VasyGrek, а также с вредоносным вложением. В случаях писем со ссылками переход по ним осуществляется при клике на изображения с иконками файлов.

Рис. 1 – Фишинговое письмо со ссылкой на вредоносный архив, хранящийся на GitHub
Рис. 1 – Фишинговое письмо со ссылкой на вредоносный архив, хранящийся на GitHub
Рис. 2 – Фишинговое письмо со ссылкой на вредоносный архив, хранящийся на домене VasyGrek
Рис. 2 – Фишинговое письмо со ссылкой на вредоносный архив, хранящийся на домене VasyGrek
Рис. 3 – Фишинговое письмо с вредоносным архивом во вложении
Рис. 3 – Фишинговое письмо с вредоносным архивом во вложении

С августа по ноябрь 2025 года злоумышленник продолжал использовать ранее зарегистрированные и регистрировал новые домены, с которых в ходе атак загружалось ВПО. Для VasyGrek характерны определенные паттерны поведения при регистрации новых доменов. Это позволило аналитикам Threat Intelligence F6 создать правила на сетевую инфраструктуру злоумышленника и выявить регистрируемые домены еще до начала их использования в атаках. На скриншоте ниже представлен граф связей доменов VasyGrek с уникальными регистрационными данными.

Рис. 4 – Графовый анализ инфраструктуры VasyGrek
Рис. 4 – Графовый анализ инфраструктуры VasyGrek

Также аналитики F6 заметили, что на доменах злоумышленника размещались страницы, замаскированные под ресурсы с бухгалтерскими услугами. Ниже представлен скриншот страниц, которые были обнаружены в сентябре 2025 года на доменах buhgalteriya1c[.]moscow, buhgalteriya1c[.]website, buhgalteriya1c[.]online.

Рис. 5 – Скриншот страницы с мимикрией под бухгалтерские услуги на доменах VasyGrek
Рис. 5 – Скриншот страницы с мимикрией под бухгалтерские услуги на доменах VasyGrek

Кроме того, за рассматриваемый период на доменах злоумышленника были замечены страницы, имитирующие известные компании из финансовой сферы (платежи, бухгалтерские услуги), ранее также встречались банки.

В качестве С2 VasyGrek почти год использовал IP-адрес 195[.]26[.]227[.]209 (с декабря 2024), но в конце октября 2025 года сменил его на 195[.]26[.]225[.]113.

Анализ одного из вредоносных семплов VasyGrek на Malware Detonation Platform от компании F6 доступен по ссылке.

В данном анализе загрузчик PureCrypter помимо привычной для VasyGrek полезной нагрузки PureHVNC и PureLogs Stealer доставляет на устройство жертвы шифровальщик Pay2Key (enc-build.exe).

Анализ новой цепочки атаки VasyGrek от 13 ноября 2025 года

1. Запуск файла акт_сверки_PDF.vbs.

2. Загрузка изображения с hxxps://vvvpmscvtlhcjbybrwjg[.]supabase[.]co/storage/v1/object/public/sudo/image.jpg?12711343. Также попытка загрузки такого же изображения с ресурса hxxps://raw[.]githubusercontent[.]com/ahedsalah88-cyber/file/30ea07d56404ec5d97060cb9719acb756b2ed1f1/pic.jpg?12711343, однако на момент анализа файл по данной ссылке был недоступен.

3. Из изображения извлекается зашифрованная полезная нагрузка. Ее границы определены заголовками <<BASE64_START>> и <<BASE64_END>>. После извлечения нагрузки символы ‘h@’ заменяются на ‘d’ и происходит дешифровка base64. В результате получается .NET-сборка.

4. Внедрение дешифрованной нагрузки в текущий процесс с помощью System.Reflection.Assembly::Load().

5. Вызов из .NET-нагрузки метода testpowershell.Hoaaaaaasdme с 6 аргументами: txt.daolpu52021131CV/ur.tka-hub-c1//:s, 2, vbchosting.exe, RegAsm, 0, x86.

6. NET-нагрузка создает запись в реестре по пути HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce для однократного запуска wscript.exe с аргументом C:\ProgramData\vbchosting.exe.vbs — этого файла еще не существует.

7. NET-нагрузка создает 2 новых процесса powershell.exe со следующими аргументами:

  • принудительное завершение процессов RegAsm.exe, Vbc.exe и MsBuild.exe:

"Start-Process cmd.exe -ArgumentList '/c taskkill /IM RegAsm.exe /F & taskkill /IM Vbc.exe /F & taskkill /IM MsBuild.exe /F'

  • проверка текущей директории: если это не ProgramData, то выполняется копирование изначального акт_сверки_PDF.vbs, но с новым именем vbchosting.exe.vbs в директорию C:\ProgramData. Данный файл используется для закрепления в системе (автозагрузка через реестр). Команды отработали и процессы завершились:

-WindowStyle Hidden if ((Get-Location).Path -ne 'C:\ProgramData' ) { (Get-ChildItem *.vbs | Sort-Object CreationTime -Descending | Select-Object -First 1) | Copy-Item -Destination 'C:\ProgramData\vbchosting.exe.vbs' -Force }

8. NET-нагрузка загружает новую полезную нагрузку с hxxps://1c-buh-akt[.]ru/VC13112025upload.txt.

9. Дешифровка новой нагрузки (reverse string + base64). В результате получается новая .NET-сборка: .exe и зависимая .dll.

10. Запуск легитимного исполняемого файла RegAsm.exe — включен в состав стандартного .NET-пакета.

11. Внедрение новой расшифрованной нагрузки в процесс RegAsm.exe.

12. Запуск внедренной нагрузки. Запускается .exe-нагрузка, которая использует .dll-библиотеку. По результатам динамического анализа и анализа полученной конфигурации специалистами Threat Intelligence F6 был сделан вывод, что полезная нагрузка, внедренная в процесс RegAsm.exe — это PureHVNC (PureRAT). В конфигурации указаны IP C2, имя мьютекса, номера портов, SSL-сертификат.

Рис. 6 — Дерево процессов
Рис. 6 — Дерево процессов
Рис. 7 — Конфигурация PureHVNC
Рис. 7 — Конфигурация PureHVNC

Стоит отметить, что в данной атаке использовался загрузчик, классифицируемый нами как powershell stego downloader. Он использовался разными атакующими, в частности, неоднократно был замечен в арсенале группы Sticky Werewolf. Группа Sticky Werewolf использовала его для доставки полезных нагрузок Ozone RAT и Darktrack и инжектировала их в процесс RegAsm.exe. В данном же случае атрибуция была проведена к VasyGrek на основе формата фишингового письма, связи ВПО с доменом, зарегистрированным VasyGrek, а также по конечной полезной нагрузке — PureHVNC.

Индикаторы компрометации

Индикаторы компрометации можно найти, пройдя по ссылке.

Выводы

VasyGrek — пример многолетней угрозы, продолжающий осуществлять кибератаки и взаимодействовать с распространителями различного ВПО. Его действия носят массовый характер и направлены на российские организации из различных сфер. В интересах компаний ознакомиться с деталями этой угрозы и принять меры для защиты от потенциальных атак. Также рекомендуем проводить регулярные обучения сотрудников для повышения уровня их киберграмотности и использовать современные средства для выявления, предотвращения и проактивного поиска киберугроз.

Рекомендуем ознакомиться с решениями от F6: Business Email ProtectionManaged XDR и Threat Intelligence.

Комментарии (0)