11,6 тыс подписчиков

Новейшие атаки Reaverbits: угроза кибербезопасности России

27 февраля 202527 фев 2025

2 мин

В сентябре 2024 года была зафиксирована новая волна кибератак, организованных группой, известной как Reaverbits. Эта команда нацелена на российские компании в ключевых секторах, таких как биотехнологии, телекоммуникации и финансовые услуги. Группа Reaverbits работает с конца 2023 года и использует усовершенствованные методы целенаправленного фишинга. Основные инструменты, применяемые ими: По данным F6 Threat Intelligence, в период с сентября 2024 по январь 2025 года было задокументировано множество цепочек заражения. Сентябрьские атаки стартовали с электронных писем, якобы отправленных от имени Следственного комитета Российской Федерации. Получателям предлагалось загрузить вредоносный PDF-файл, который запускал загрузчик. При запуске PDF-файла происходила следующая цепочка действий: 16 января 2025 года была замечена еще одна фишинговая кампания, во время которой электронные письма отправлялись из Министерства внутренних дел Российской Федерации. Жертвы, переходившие по ссылкам в этих п

Оглавление

Методы и инструменты атак
Цепочки заражения в атаке
Совершенствование методов группы

В сентябре 2024 года была зафиксирована новая волна кибератак, организованных группой, известной как Reaverbits. Эта команда нацелена на российские компании в ключевых секторах, таких как биотехнологии, телекоммуникации и финансовые услуги.

Методы и инструменты атак

Группа Reaverbits работает с конца 2023 года и использует усовершенствованные методы целенаправленного фишинга. Основные инструменты, применяемые ими:

Meduza Stealer — вредоносная программа, эволюционировавшая с момента своих предыдущих версий;
Reaverdoor — бэкдор, позволяющий злоумышленникам выполнить произвольные PHP-скрипты;
Agendal — вредоносный файл, использующий проект с открытым исходным кодом (Nbtexplorer).

Цепочки заражения в атаке

По данным F6 Threat Intelligence, в период с сентября 2024 по январь 2025 года было задокументировано множество цепочек заражения. Сентябрьские атаки стартовали с электронных писем, якобы отправленных от имени Следственного комитета Российской Федерации. Получателям предлагалось загрузить вредоносный PDF-файл, который запускал загрузчик.

При запуске PDF-файла происходила следующая цепочка действий:

Запуск инжектора;
Подключение к жестко запрограммированному URL-адресу для загрузки библиотеки .NET;
Декодирование полезной нагрузки с использованием метода удаления данных из процесса;
Заражение системы с помощью Meduza Stealer.

Совершенствование методов группы

16 января 2025 года была замечена еще одна фишинговая кампания, во время которой электронные письма отправлялись из Министерства внутренних дел Российской Федерации. Жертвы, переходившие по ссылкам в этих письмах, подвергались языковой проверке с перенаправлением в зависимости от установленного языка браузера.

Загруженные файлы под названием Agendal содержали встроенный вредоносный код, который позволял злоумышленникам удаленно управлять зараженными системами, собирая логи на указанный URL-адрес.

Перспективы угрозы

Данная операция указывает на то, что Reaverbits усовершенствовала свои тактики. Обнаружение бэкдора Reaverdoor открывает новые возможности для масштабных операций. Параметры использования модифицированных инструментов с открытым исходным кодом и применяемые методы маскировки, включая:

Обновления, выдающиеся за законные;
Цифровые сертификаты;
Расширенные механизмы шифрования.

Подобные действия свидетельствуют о высоком уровне угрозы, создаваемой группой Reaverbits для российских организаций. С учетом их способности эволюционировать и адаптироваться к изменяющимся условиям, выявление и предотвращение таких атак становится все более критически важным.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новейшие атаки Reaverbits: угроза кибербезопасности России".