Buhtrap снова атакует российских финансистов и юристов  | Блог F.A.C.C.T.

Спустя год после затишья зафиксированы новые кампании преступников, использующих Buhtrap

В ходе исследования инцидента, связанного с загрузкой вредоносного объекта на устройство одного из клиентов, экспертами Центра кибербезопаcности компании F.A.C.C.T. были обнаружены детали его распространения: вредоносный экземпляр, находящийся в архиве, был атрибутирован в системе F.A.C.C.T. Managed XDR как Buhtrap RAT.

Справка

Buhtrap — название ВПО и преступной группы, которая изначально его использовала в своих атаках. Первые атаки на финансовые учреждения были зафиксированы еще в августе 2015 года. Основным вектором проникновения в корпоративные сети на тот момент были фишинговые письма от имени Банка России или его представителей. Позже для заражения финансистов или юристов стали использоваться взломанные или фейковые профильные бухгалтерские веб-ресурсы, где под видом загрузки бланков или шаблонов различных документов происходила первая стадия заражения ВПО. Ущерб от атак группы Buhtrap, который фиксировали наши эксперты в 2020−2022 годах, оценивался как минимум в 2 млрд рублей, а глобальный ущерб от Buhtrap за все годы его активности достигал примерно 6−7 млрд рублей. Последняя активность Buhtrap была замечена в апреле 2023 года.

Рис. 1. Алерт с атрибуцией Buhtrap в системе F.A.C.C.T. Managed XDR.

Этап анализа ВПО

После обнаружения инцидента экспертами Центра кибербезопасности был инициирован дополнительный анализ исполняемого экземпляра, находящегося в архиве. Для этих целей использовалось решение MDP — платформа детонации вредоносных программ, входящей в комплекс системы F.A.C.C.T. Managed XDR.

В zip-архиве находится лоадер первой стадии под названием Документ № [0-9].exe.

Рис. 3. Структура архива.

При запуске исполняемого файла распаковывался дроппер второй стадии, который запускал процесс Wordpad.exe с пустым документом. Следующая стадия начиналась только после того, как пользователь закроет окно wordpad – эта техника используется для обхода песочниц.

Рис. 4. Wordpad.

Buhtrap RAT сохранялся на диск и прописывался в автозагрузку, а именно в ключе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run, путь до RAT: %userprofile%\AppData\Local\%dir_name%\%samplename%.exe. Имя директории и имя RAT случайно генерируемые на латинице.

Рис. 5. Закрепление в реестре.

В данной кампании в качестве Buhtrap RAT используется исполняемый exe-файл, в то время как в кампании 2023 года он являлся dll-файлом, который распаковывался и запускался в памяти процесса rundll32.exe.

Рис. 6. Pakuqa.exe – Buhtrap RAT.

Этап проверки отсутствия заражения

После подтверждения вредоносности объекта и того, что исполняемый файл, содержащийся в архиве, действительно является лоадером Buhtrap RAT, необходимо было убедиться в том, что сам вредоносный экземпляр не был запущен на устройстве.

В рамках сервиса мониторинга и реагирования экспертами ЦК с помощью установленного EDR-агента компании F.A.C.C.T. на задействованном в инциденте устройстве, были собраны дополнительные данные, необходимые для криминалистического исследования.

Для начала выявляем факт запуска лоадера:

Рис. 7. Поисковый запрос в системе F.A.C.C.T. Managed XDR.

Далее проверяем коммуникации с командными центрами:

Рис. 8. Коммуникации с С2.

Крайним запросом проверим закрепление Buhtrap-RAT на хосте жертвы:

Рис. 9. Создание ключа реестра в автозапуске.

Вердикт — не запущен.

После этого было проведено уведомление сотрудников ИБ клиента, где была представлена базовая информация о факте обнаружения инцидента с Buhtrap.

Этап исследования источника

В ходе проверки выяснилось, что вредоносный архив был загружен пользователем через веб-браузер.

Рис. 10. Скриншот из загрузки архива из телеметрии F.A.C.C.T. Managed XDR

Анализ действий этого пользователя на основе ранее собранных данных с устройства позволил восстановить хронологию развития инцидента. Выяснилось, что пользователь искал шаблон документа в поисковой системе Яндекс. В результате этого поиска пользователь оказался на веб-ресурсе, после чего произошла загрузка вредоносного архива.

После предоставления данной информации клиенту был инициирован анализ ресурсов, участвующих в распространении Buhtrap.

Анализ инфраструктуры распространения

В целом, схема новой кампании практически не отличается от кампании в марте-апреле 2023 года, которую мы описывали ранее https://www.facct.ru/blog/buhtrap-rat/

Как и прежде были созданы сайты-приманки, замаскированные под профильные ресурсы для бухгалтеров и юристов.

Рис. 11. Скриншот сайта-приманки.

Всего было обнаружено три веб-ресурса, использующихся в текущей кампании.

  • астраюрист[.]рф – зарегистрирован 2024-07-26
  • фин-баланс[.]рф – зарегистрирован 2024-07-26
  • финансовыйбаланс[.]рф – зарегистрирован 2024-07-25

Кроме этого, был обнаружен еще один ресурс – законноерешение[.]рф, который не был задействован злоумышленниками в рамках данной компании, но связан с вышеуказанными доменами.

Рис. 12 Графовый анализ.

Именно анализ содержимого сайтов свидетельствовал, что целевой аудиторией злоумышленников являются специалисты из финансовых или юридических подразделений.

Жертвы попадали на эти веб-ресурсы из поисковой выдачи. Для этого злоумышленники использовали подход с продвижением своих веб-ресурсов — приманок, тем самым выводили их на первую страницу поисковой выдачи. Первая страница поисковой выдачи обеспечивала посещаемость и загрузки своего ВПО со стороны своей целевой аудитории.

Рис. 13. Поисковая выдача с сайтом-приманкой.

Рис. 14. Поисковая выдача с сайтом-приманкой.

Рис. 15. Поисковая выдача с сайтом-приманкой.

После того как посетитель оказывался на сайте приманке, найдя интересующий шаблон или бланк при попытке его скачать, нажимая на кнопку  “Скачать документ”, происходила загрузка архива док_архив_[0-9]{4,5}.zip. Сам архив загружался с другого веб-ресурса – астраюрист[.]рф

При каждой попытке загрузки в названии архива генерировалась уникальная последовательность из цифр.

URI:астраюрист[.]рф/uploads/док_архив_[0-9]{4,5}.zip

За генерацию создания ссылки на загрузку архивов отвечает скрипт dl.js, который размещен на сайте-приманке. При нажатии кнопки скачивания документа генерируется цифровое значение в конце имени архива от 1000 до 99999, поэтому каждый архив, а также полезная нагрузка в нем, является уникальной.

Рис. 16 – Скрипт dl.js, отвечающий за создание ссылки на загрузку вредоносных архивов.

Выводы

Для Buhtrap характерны «волны активности» — количество успешных хищений с использованием этого ВПО то периодически возрастает, то падает. При этом изменяются и техники атакующих. Например, в 2018 году использовался «автозалив» (автоматическая подмена информации в платежных поручениях что называется «на лету»), что позволяло успешно проводить несанкционированные платежные операции уже через несколько часов после проникновения на компьютер жертвы. В 2020 году злоумышленники вернулись «к истокам» и проводили хищения вручную.

Индикаторы

Домены:

  • xn--80aay4abdedf0j[.]xn--p1ai
  • xn—-8sbac7avkf0bv[.]xn--p1ai
  • xn--80akaaahlm1aadgc3a5j[.]xn--p1ai
  • xn--80aaace8ajsmbgf2bi5a3j[.]xn--p1ai

C&C:

  • hxxps://boxofwe[.]homes/images/logo.png
  • hxxps://why2has[.]quest/images/bg.png

Файлы:

  • док_архив_[0-9].zip
  • Документ № [0-9].exe

Реестр:

  • Ключ: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\%unique_name%
  • Значение: %userprofile%\AppData\Local\%unique_dirname%\%unique_filename%.exe

Imphash:

  • 7116e78a0bb29e00d248794616314535
  • e1824c646335b087945e265ca9dc3a9a