Разбираем змеиные повадки: новые инструменты ReaverBits
Специалисты Threat Intelligence компании F6 продолжают отслеживать активность группы ReaverBits и разобрали цепочки заражения, применяющиеся злоумышленниками.
ReaverBits (от слов "reaver", то есть "вор", и "bits" — сокращение от Bitbucket — сервиса совместной разработки проектов, используемого атакующими) — это группа киберпреступников, действующая с конца 2023 года. Группировка специализируется на атаках на российские компании в таких ключевых областях, как биотехнологии, розничная торговля, агропромышленный комплекс, телекоммуникации и финансовый сектор.
Отличительными особенностями этой группировки стали целенаправленные атаки исключительно на российские организации, активное использование методов спуфинга при проведении фишинговых атак, а также применение вредоносного ПО класса «стилер» в качестве основной полезной нагрузки.
С сентября 2024 по январь 2025 года специалисты компании F6 Threat Intelligence зафиксировали три разные цепочки заражения, в которых использовались обновленные инструменты, среди которых публично продающийся Meduza Stealer и нехарактерное для группы уникальное вредоносное ПО — ReaverDoor. Распространение вредоносного программного обеспечения осуществляется под видом легитимных цифровых сертификатов и обновлений.
Так, в сентябре 2024 года исследователи фиксировали рассылки фишинговых электронных писем, направляемых от имени Следственного комитета Российской Федерации. Через поддельные письма злоумышленники из ReaverBits распространяли Meduza Stealer.
В январе 2025 года специалисты F6 обнаружили электронное письмо, отправленное от имени Министерства Внутренних Дел Российской Федерации. В атаке также использовался Meduza Stealer. Продолжив поиски и исследование файлов, связанных с атакой, аналитики F6. Threat Intelligence обнаружили ранее неописанный бэкдор, который получил название ReaverDoor.
Как отмечают специалисты F6, атаки ReaverBits по-прежнему нацелены исключительно на российские организации, а эволюция инструментов может свидетельствовать о подготовке к более масштабным атакам. Применяемые методы значительно повышают уровень скрытности группировки, что затрудняет её обнаружение и анализ.
Все детали атак, атрибуции и индикаторы компрометации — в новом блоге компании.
Источник новости: habr.com
