Вредоносное ПО RustyBuer

RustyBuer, обнаруженный исследователями безопасности, представляет собой новую версию загрузчика вредоносных программ Buer. Первоначальная угроза была впервые обнаружена еще в 2019 году, когда ее можно было купить на подпольных хакерских форумах. Buer действует как начальная полезная нагрузка, которая устанавливает точку опоры в целевой системе и переходит к эскалации атаки с доставкой вредоносных программ следующего уровня. Новая версия сохраняет ту же функциональность, но главным отличительным признаком является то, что она написана на языке программирования Rust.

Воссоздание существующих вредоносных программ с использованием новых и менее известных языков программирования - относительно недавняя тенденция среди киберпреступников. Это позволяет им избегать решений для защиты от вредоносных программ на основе сигнатур, которые могут легко обнаруживать исходные версии угроз. В то же время это значительно сокращает время, необходимое для устранения угрозы, по сравнению с альтернативой создания совершенно нового вредоносного ПО.

Цепочка атак Расти Буера

В серии атак с участием вредоносного ПО RustyBuer злоумышленники распространяли электронные письма-приманки, которые якобы исходили от международной логистической компании DHL. Чтобы повысить легитимность поддельных писем, хакеры добавили логотипы нескольких провайдеров кибербезопасности. Текст фальшивых электронных писем дает указание целевой жертве открыть прикрепленный файл, обычно это документ Word или Excel. Поврежденный файл содержит макрос, доставляющий угрозу RustyBuer в систему. Чтобы избежать обнаружения со стороны решений безопасности конечных точек, макрос использует обход приложений.

Попав внутрь устройства жертвы, RustyBuer проверяет среду на наличие признаков виртуализации. После этого он выполняет проверку геолокации, чтобы определить, является ли пользователь из определенной страны СНГ (Содружества Независимых Государств), и при обнаружении совпадения вредоносная программа прекращает свое выполнение. RustyBuer также устанавливает механизм сохранения через файл LNK, который запускается при каждой загрузке системы.

Полезные нагрузки следующего этапа

Анализ недавних атак с использованием RustyBuer показал, что угроза в основном соответствует поведению, ранее наблюдавшемуся в Buer - злоумышленники сбросили Cobalt Strike Beacon на взломанные системы. Cobalt Strike - это законный инструмент для тестирования на проникновение, который довольно часто используется злоумышленниками, которые включают его в свои угрожающие операции.

Однако в некоторых случаях после того, как RustyBuer был установлен в системах, злоумышленники не эскалировали злоумышленника, и полезные нагрузки второго уровня не были обнаружены. Исследователи считают, что это признак того, что злоумышленники пытаются использовать схему доступа как услуги, предлагающую продать доступ к системам после заражения другим группам киберпреступников.

Также следует отметить, что наличие списка стран с ограниченным доступом из региона СНГ указывает на то, что операторы RustyBuer потенциально могут иметь связи с Россией.