+7 (4012) 20-10-92
Прием в офисе сервисного центра не ведется до 19.09.2025

Инцидент с трояном Buhtrap в системе Контур.Диадок: что произошло, риски и как защититься

6 августа 2025 года была зафиксирована целевая кибератака с использованием известного банковского трояна Buhtrap. Вектором распространения стала система электронного документооборота Контур.Диадок. Злоумышленники рассылали вредоносные zip-архивы от имени реально существующих компаний, используя для этого уже заражённые компьютеры пользователей. Важно подчеркнуть: сам сервис Контур.Диадок не был взломан. Атака использовала стандартную функциональность отправки документов. В этой статье мы собрали все подтверждённые факты, технические индикаторы компрометации (IOC) и подготовили пошаговый план по реагированию и профилактике для вашей организации.

Ключевые факты об инциденте

  • Дата инцидента: Атака была зафиксирована 6 августа 2025 года.
  • Вектор атаки: Массовая рассылка вредоносных zip-архивов контрагентам через систему Контур.Диадок с уже скомпрометированных рабочих станций пользователей.
  • Проблема обнаружения: На начальном этапе кампании вредоносные образцы практически не детектировались большинством антивирусных решений, что позволило трояну быстро распространиться.
  • Основная цель атаки: Кража денежных средств через системы дистанционного банковского обслуживания (ДБО). Это включает перехват учётных данных, подмену или добавление мошеннических платёжных поручений, получение доступа к ключам электронной подписи (ЭП) и установку средств удалённого доступа (RAT).

Как развивалась атака: цепная реакция

Схема атаки была проста, но эффективна, и строилась на доверии между контрагентами.

  1. Первичное заражение: Один из пользователей Контур.Диадок открыл вредоносное вложение (вероятно, полученное по почте или из другого источника), в результате чего его компьютер был скомпрометирован трояном Buhtrap.
  2. Автоматическое распространение: После заражения троян получал контроль над функциями отправки документов в Диадоке и начинал массовую рассылку вредоносных архивов всем контрагентам заражённой компании. Имена файлов маскировались под стандартные документы: "архив.zip""июль 2025 - копия.rtf.zip" и т.д.
  3. Цепная реакция: Получатели, видя документ от известного партнёра, открывали архив и запускали исполняемый файл, замаскированный под документ Word/RTF. Это приводило к заражению их компьютеров, и цикл повторялся, распространяя инфекцию дальше по цепочке контрагентов.

Технический портрет Buhtrap: индикаторы компрометации (IOC)

Для технических специалистов и служб ИБ приводим ключевые индикаторы, которые помогут обнаружить следы трояна в вашей инфраструктуре.

  • Классификация (детекция): HEUR:Trojan.Win32.Agentb.gen (по классификации «Лаборатории Касперского»).
  • Командно-контрольные серверы (C2): Рекомендуется заблокировать доступ к этим доменам и IP-адресам на сетевых шлюзах, прокси-серверах и EDR-решениях. [2]
    • techbb[.]site
    • kogama[.]rest
    • maxboth[.]click
    • boxofwe[.]homes
    • minboth[.]click
    • 95.181.226.238
  • Примеры SHA-256 хешей: Используйте эти хеши для ретроспективного поиска вредоносных файлов в вашей сети. [2]
    • 34ca42e851acefa46a36ad01ab8f28e51f832a6c22622ab49d767caee75b8d2c
    • 5c5a48c2d0f1b9695a0593b543f26b29e7e3612692e06d051f5c8b7ed00c27ef
    • 9f4403cd493e7cc5980545f150ce9188817544db78e82413915c52031f51e857
  • Признаковые артефакты на хосте: [2–3]
    • Появление необычных исполняемых файлов в профиле пользователя, например: C:\Users\ИмяПользователя\AppData\Local\Pepebekap\Kebopeb.exe.
    • Добавление новых файлов, скриптов или задач в автозагрузку Windows.
    • Самопроизвольная установка или настройка ПО для удалённого доступа (AnyDesk, TeamViewer) без ведома пользователя.

Главные цели злоумышленников

Группировка Buhtrap традиционно нацелена на финансовый сектор и бухгалтерию компаний. Их ключевые задачи:

  • Перехват логинов и паролей от систем ДБО и бухгалтерских программ (1С и др.).
  • Скрытое добавление мошеннических платёжных поручений в пачки легитимных платежей.
  • Установка средств удалённого администрирования (RAT) для полного контроля над заражённым ПК.
  • Получение доступа к контейнерам электронных подписей, токенам и смарт-картам для подписания мошеннических транзакций.

Признаки заражения: на что обратить внимание бухгалтеру?

  • Вы получили в Диадоке документ от знакомого контрагента в виде zip-архива.
  • Внутри архива находится файл с двойным расширением (например, счет.rtf.exe) или файл с иконкой документа, но с расширением .exe или .scr.
  • На вашем рабочем столе или в системе появились ярлыки программ, которые вы не устанавливали (особенно AnyDesk или TeamViewer).
  • Антивирус сообщает об угрозе или система работает медленнее обычного.

Ответные меры СКБ Контур

Команда безопасности СКБ Контур отреагировала оперативно:

  • Немедленные действия: Была заблокирована отправка заражённых документов, уже разосланные вредоносные архивы были удалены из системы, а для некоторых пользователей были временно ограничены функции отправки для предотвращения дальнейшего распространения. Велась адресная работа с пострадавшими клиентами.
  • Техническое расследование: В течение суток совместно со специалистами «Лаборатории Касперского» был проведён реверс-инжиниринг образцов трояна и сформирован список индикаторов компрометации для клиентов.
  • Важное уточнение: Повторим ещё раз — инфраструктура Контур.Диадок не была взломана. Данные клиентов, хранящиеся в сервисе, не были скомпрометированы. Атака стала возможной из-за заражения конечных устройств пользователей.

Что делать организациям прямо сейчас: пошаговый план действий

1. Остановить распространение

  • Главное правило: Не открывайте и не пересылайте подозрительные вложения (особенно zip-архивы и исполняемые файлы), пришедшие в Диадоке, даже от доверенных контрагентов. Если сомневаетесь — позвоните отправителю по известному номеру телефона и уточните подлинность документа.
  • Изолируйте подозрительные рабочие станции от корпоративной и глобальной сети (отключите сетевой кабель, выключите Wi-Fi).
  • Немедленно сообщите о подозрении в службу ИБ/IT и в ваш банк о возможном инциденте с компрометацией доступа к ДБО.

 

2. Проверить инфраструктуру на наличие следов атаки

  • Используя приведённые выше IOC, проверьте системы на наличие вредоносных файлов (по хешам), сетевых соединений (по доменам/IP) и артефактов в файловой системе.
  • Проверьте все рабочие станции на наличие несанкционированно установленного ПО для удалённого доступа (AnyDesk, TeamViewer, RDP и др.).
  • Запустите полное сканирование всех рабочих мест антивирусом или EDR-решением с обновлёнными базами.

 

3. Защитить финансы и электронные подписи

  • Срочно смените пароли от систем ДБО на всех компьютерах, где мог быть осуществлён вход. Включите или проверьте настройки двухфакторной аутентификации (2FA).
  • При малейших признаках компрометации инициируйте перевыпуск скомпрометированных сертификатов ЭП и токенов.
  • Проведите внеплановую сверку всех платёжных поручений и журналов действий пользователей в системах ДБО за последние дни.

 

4. Заблокировать каналы атаки на уровне инфраструктуры

  • Добавьте C2-домены и IP-адреса из раздела IOC в блок-листы на ваших межсетевых экранах и прокси-серверах.
  • Настройте правила на почтовых шлюзах и EDR-решениях, блокирующие запуск исполняемых файлов (PE) из архивов, а также файлов с двойным расширением. Запретите запуск программ из каталогов Temp и AppData.

Долгосрочные меры защиты: как укрепить оборону

Инцидент — это повод пересмотреть и усилить защитные меры.

  • Разделение ролей и контроль платежей: Внедрите правило «двух пар глаз» (второй подписи) для всех исходящих платежей. Установите суточные лимиты и настройте отложенное исполнение крупных транзакций.
  • Защита рабочих мест ДБО: Используйте выделенные ПК для работы с банком, на которых нет прав локального администратора. Запретите запуск любых неизвестных программ с помощью политик AppLocker/SRP. Своевременно обновляйте ОС и ПО.
  • Внедрение EDR/XDR: Современные средства защиты конечных точек позволяют не только блокировать угрозы, но и проводить ретроспективный поиск по IOC, выявляя скрытые атаки.
  • Политики по работе с вложениями: Настройте песочницы (sandbox) и системы очистки контента (CDR) для всех входящих файлов. Запретите запуск исполняемых файлов из любых вложений.
  • Обучение сотрудников: Регулярно проводите тренинги по кибербезопасности для бухгалтерии, финансистов и юристов. Они — приоритетная цель для атак типа Buhtrap.
  • Регулярные учения: Разработайте и отрабатывайте сценарии реагирования на инциденты (playbook), чтобы в экстренной ситуации каждый сотрудник знал, что делать.
Комплексные услуги по информационной безопасности: защита персональных данных, коммерческой тайны и КИИ
Подробнее

Свяжитесь с нами

Столкнувшись с таким инцидентом, важно действовать быстро и профессионально. Наша команда готова оказать комплексную поддержку:

  • Проведём срочный аудит инцидента: Поможем найти индикаторы компрометации в вашей сети, проанализируем журналы Диадока и проверим целостность платёжных операций.
  • Настроим средства защиты: Поможем внедрить и настроить EDR-решения, политики AppLocker/SRP и правила управления вложениями для блокировки подобных атак в будущем.
  • Укрепим безопасность: Поможем с перевыпуском и отзывом скомпрометированных ЭП, а также проведём обучение сотрудников для повышения их киберграмотности.
  • Разработаем план действий: Совместно с вашей службой ИБ и банком согласуем план текущих и долгосрочных мер по защите финансовых активов.

 

Не оставайтесь с проблемой один на один. Свяжитесь с нами для консультации и экстренной помощи.

Наш сайт использует файлы cookies, которые делают его более удобным для каждого пользователя. Оставаясь на нашем сайте, вы соглашаетесь с использованием файлов cookies.

Согласен