В начале 2024 года специалисты F.A.C.C.T. Threat Intelligence обнаружили новую группу злоумышленников, которые рассылают вредоносные письма по российским организациям от имени разных компаний и министерств. Группе было присвоено название ReaverBits: «reaver» (в переводе «вор»), поскольку атакующие похищали данные с помощью стилера MetaStealer, шпионского ПО, направленного на кражу конфиденциальной информации с компьютера жертвы, а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».
На текущий момент нашим экспертам известно уже о 5 рассылках группы, две из них были зафиксированы в декабре 2023 года, две — в январе 2024 года, а последняя — в мае. Атаки направлены на российские компании из сферы ритейла, телекоммуникаций, процессинговую компанию, агропромышленное объединение, федеральный фонд. Все рассылки были заблокированы системой F.A.С.С.T. Managed XDR, клиенты F.A.C.C.T. получили оперативные уведомления об угрозах с их полным техническим анализом.
Выделим основные черты, характеризующие обнаруженную группу ReaverBits:
известные на сегодняшний день атаки со стороны группы были направлены исключительно на российские организации;
группа активно применяет спуфинг;
злоумышленники используют MetaStealer в качестве нагрузки;
в одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.
Инфраструктура группы ReaverBits и связанные файловые индикаторы приведены в разделе индикаторы компрометации нового блога, а граф сетевой инфраструктуры — на рис. 1.
Рассылка#1: Подарочная карта
В ходе ежедневного мониторинга угроз специалистами F.A.C.C.T. было обнаружено письмо (рис. 2), отправленное 26 декабря 2023 года якобы от имени интернет-магазина Skyey. Тема письма: «[контактное лицо], вы выграли 10 000 Рублей от Skyey.ru» (примечание: в теме атакующие допустили опечатку, написав «выграли» вместо «выиграли»).
Письмо было отправлено с адреса «notify@ispsystem.com», но атакующие использовали спуфинг для смены видимости оригинального адреса отправителя на info@skyey.ru. Среди получателей были замечены организации из сфер ритейла, телекоммуникаций и процессинговая компания. Письмо содержало архив «skyey.ru_gift_10000.7z», внутри которого находится исполняемый файл «skyey.ru_gift_10000.exe», представляющий собой MetaStealer с C2-адресом 193[.]124[.]92[.]156:18910. Build ID образца: «Mail_test_2512».
Рассылка#2: Персональные скидки
Днем позднее, 27 декабря, злоумышленниками рассылалось еще одно письмо (рис. 3), отправленное с электронного адреса «no-reply@parts.uaz.ru». Однако, опять же с помощью спуфинга был заменен оригинальный адрес отправителя на «parts@uaz.ru». Доменное имя адреса электронной почты отправителя принадлежит инфраструктуре компании УАЗ. Письмо было направлено в одно из агропромышленных объединений и содержало предложение о скидке на запчасти для автомобилей УАЗ.
Все технические подробности 5 атак группы ReaverBits, включая индикаторы компрометации и MITRE ATT&CK®, читайте в новом блоге, подготовленном экспертами команды F.A.C.C.T.