Компания F6 зафиксировала новые атаки киберпреступной группировки ReaverBits, которая продолжает совершенствовать свои методы и атаковать российские компании. В последних атаках использовались усовершенствованные инструменты, такие как Meduza Stealer и новый бэкдор ReaverDoor, что говорит о росте технического потенциала хакеров .
ReaverBits действует с конца 2023 года и специализируется на атаках на организации в ключевых секторах российской экономики: биотехнологии, ритейл, агропромышленный комплекс, телекоммуникации и финансовый сектор. Группа известна изощренными методами социальной инженерии, спуфингом и фишинговыми кампаниями, направленными на сотрудников компаний. Вредоносное ПО распространяется под видом официальных документов государственных ведомств и легитимного программного обеспечения.
В сентябре 2024 года группа провела масштабную фишинговую атаку, используя поддельные электронные письма якобы от Следственного комитета России. Письма содержали вредоносное вложение в виде PDF-документа с темой “СК РФ Вызов на допрос”. Открытие документа приводило к загрузке исполняемого файла, замаскированного под обновление Adobe Font Package. В результате пользователь заражал свою систему стилером Meduza Stealer, который собирал учетные данные, файлы и другую конфиденциальную информацию.
В январе 2025 года ReaverBits вновь активизировалась, рассылая письма от имени Министерства внутренних дел России. В сообщениях содержалась ссылка на якобы официальный документ, однако при переходе жертва загружала зараженный исполняемый файл “Повестка”. Злоумышленники использовали механизмы проверки языка системы: если в настройках браузера был установлен русский язык, происходило перенаправление на вредоносный ресурс, в противном случае пользователь попадал на официальный сайт МВД. В загруженном файле находился загрузчик, основанный на легитимном инструменте NBTExplorer, который скачивал и запускал Meduza Stealer.
Технический анализ показал, что злоумышленники продолжают использовать схожие методики в своих атаках. Вредоносные загрузчики основаны на легитимных open-source проектах, в которые внедрен вредоносный код. Они загружают файлы с удаленных серверов, а их URI-адреса имеют унифицированное обозначение res.js. Вредоносные файлы шифруются по сложной схеме, включающей AES-256, PBKDF2, XOR и Base64, что значительно усложняет их обнаружение антивирусными системами.
Помимо Meduza Stealer, специалисты F6 выявили использование нового бэкдора ReaverDoor. Это вредоносное ПО предоставляет удаленный доступ к зараженным системам и использует запланированные задачи Windows для обеспечения устойчивости. Бэкдор загружается через поддельные цифровые сертификаты и автоматически подключается к серверу управления, получая команды на выполнение вредоносных действий.
Исследование также выявило связь между последними атаками и кампаниями ReaverBits, зафиксированными в 2024 году. Используемые техники включают загрузку вредоносных модулей через процесс инъекции (Process Hollowing), создание скрытых задач для выполнения вредоносного кода и применение сложных алгоритмов шифрования для маскировки командного управления.
Анализ атак показывает, что ReaverBits продолжает модернизировать свои инструменты, оставаясь при этом верной своим методам. Их главная цель – долгосрочное присутствие в сетях российских организаций и скрытая кража данных. Повышенный уровень скрытности атак делает их обнаружение сложным, что указывает на высокий уровень подготовки злоумышленников.