Конверт с гербом, подпись судьи — а внутри начало конца: Room155 вышли на охоту
NewsMakerАнализ деятельности группировки, которая не оставила шансов ни одной компании.
Группировка room155, также известная под псевдонимами DarkGaboon и Vengeful Wolf, за последние три года превратилась в одну из наиболее устойчивых и технично организованных киберугроз, ориентированных на компании из России и сопредельных стран. Исследования экспертов Positive Technologies, F6 Threat Intelligence и данные системы F6 MXDR позволили восстановить полную картину эволюции этой банды, включая инструменты, инфраструктуру и тактики.
Ранее считалось, что активная фаза деятельности room155 началась в 2023 году, однако собранные артефакты указывают на то, что первые кампании стартовали ещё в декабре 2022-го. В частности, именно тогда на VirusTotal начали массово загружаться архивы с вредоносным содержимым, замаскированные под судебные документы. Примеры: архив с файлами "Постановление суда от 05.12.22", содержащий стилер Stealerium, и документ-приманка "Образец жалобы в арбитражный суд.doc".
Классическим сценарием остаётся фишинговая рассылка , имитирующая письма от ФССП, налоговой службы, бухгалтерии или деловых партнёров. Вложения — архивы с вредоносным ПО (Revenge RAT, XWorm, Stealerium, AveMaria RAT, VenomRAT, DarkTrack) и документы-приманки (акты сверок, договоры, уведомления о задолженности).
Группировка активно использует визуальные подмены — омоглифы. Это символы из разных языков, которые визуально похожи на стандартные буквы, но обходят фильтрацию и системы обнаружения. В частности, заменяются символы в темах писем и названиях вложений. Пример: вместо "Акт сверки" используется "Aкт cвepки".
Дополнительно злоумышленники применяют поддельные сертификаты X.509, чтобы вредоносные исполняемые файлы выглядели легитимными и проходили стандартные проверки безопасности.
Цепочка заражения room155 нередко начинается с мегадроппера — специально подготовленного исполняемого файла, который разворачивает сразу несколько компонентов. Так, мегадроппер, обнаруженный экспертами F6, содержит четыре вредоносных модуля: Stealerium, DarkTrack, CryptoClipper и Revenge RAT. Для защиты кода используются протекторы Themida и .NET Reactor, что существенно усложняет анализ.
Устойчивость закрепления достигается за счёт изменения реестра Windows (раздел Run), копирования себя во временные каталоги с маскировкой под системные файлы, применения двойных расширений (.pdf.exe, .xlsx.scr) и подмены иконок, имитирующих документы Office или PDF.
С конца 2022 года группировка последовательно развивала инфраструктуру. Сначала домены C2-серверов выглядели как mydnsftp.myftp.biz и tgt55w.ddns.net. Эти ресурсы активно использовались для управления Stealerium, DarkTrack и Revenge RAT.
С 2023 года в арсенале появились домены rampage.myvnc.com, к концу 2024-го — серия динамических DNS-адресов с префиксом kilimanjaro: kilimanjaro.run.place, kilimanjaro.theworkpc.com, burkinafaso.duckdns.org и другие. В марте 2025 года были зафиксированы новые домены myhost.servepics.com и myhost.misecure.com.
Исследования показали, что эти домены объединяются в кластеры, связанные по IP-адресам. Например, tgt55w.ddns.net, mydnsftp.myftp.biz и host777.sytes.net периодически резолвились на одни и те же адреса, что позволяет точно отслеживать инфраструктурные связи.
Фальшивые сайты room155 — ещё один важный элемент схемы. Группировка зарегистрировала десятки доменов, часть которых объединена общим SSL-сертификатом. На этих сайтах размещаются копии страниц бухгалтерии или деловой переписки с формами авторизации, выполненными на базе CMS Joomla. Их внешний вид и структура регулярно меняются.
Среди дополнительных техник — доставка вредоносных архивов через облачные хранилища, например Mail.ru, что значительно усложняет их фильтрацию стандартными средствами.
В некоторых кампаниях room155 применяет Pastebin-ссылки для динамического получения адресов управляющих серверов. Такой подход зафиксирован, например, для образцов VenomRAT.
Финальный этап атаки — шифрование данных на устройствах жертв с помощью LockBit 3.0 Black . Этот вымогатель способен самостоятельно распространяться через локальную сеть, как червь, что многократно увеличивает охват атаки. Его билд активно используется room155 с 2023 года.
Кроме шифрования, зафиксированы случаи применения CryptoClipper (подмена адресов криптовалютных кошельков) и легитимного ПО AnyDesk для полного удалённого контроля над заражёнными машинами.
Статистика F6 Threat Intelligence показывает, что более половины атак room155 нацелены на финансовые организации. Среди жертв также — предприятия транспорта, промышленности, логистики, медицины, IT и строительства.
Анализ телеметрии F6 MXDR подтверждает: room155 демонстрирует высокую живучесть, оперативно реагирует на блокировки, меняет домены и IP-адреса, совершенствует вредоносное ПО, что требует повышенного внимания к защите.
Группировка room155, также известная под псевдонимами DarkGaboon и Vengeful Wolf, за последние три года превратилась в одну из наиболее устойчивых и технично организованных киберугроз, ориентированных на компании из России и сопредельных стран. Исследования экспертов Positive Technologies, F6 Threat Intelligence и данные системы F6 MXDR позволили восстановить полную картину эволюции этой банды, включая инструменты, инфраструктуру и тактики.
Ранее считалось, что активная фаза деятельности room155 началась в 2023 году, однако собранные артефакты указывают на то, что первые кампании стартовали ещё в декабре 2022-го. В частности, именно тогда на VirusTotal начали массово загружаться архивы с вредоносным содержимым, замаскированные под судебные документы. Примеры: архив с файлами "Постановление суда от 05.12.22", содержащий стилер Stealerium, и документ-приманка "Образец жалобы в арбитражный суд.doc".
Классическим сценарием остаётся фишинговая рассылка , имитирующая письма от ФССП, налоговой службы, бухгалтерии или деловых партнёров. Вложения — архивы с вредоносным ПО (Revenge RAT, XWorm, Stealerium, AveMaria RAT, VenomRAT, DarkTrack) и документы-приманки (акты сверок, договоры, уведомления о задолженности).
Группировка активно использует визуальные подмены — омоглифы. Это символы из разных языков, которые визуально похожи на стандартные буквы, но обходят фильтрацию и системы обнаружения. В частности, заменяются символы в темах писем и названиях вложений. Пример: вместо "Акт сверки" используется "Aкт cвepки".
Дополнительно злоумышленники применяют поддельные сертификаты X.509, чтобы вредоносные исполняемые файлы выглядели легитимными и проходили стандартные проверки безопасности.
Цепочка заражения room155 нередко начинается с мегадроппера — специально подготовленного исполняемого файла, который разворачивает сразу несколько компонентов. Так, мегадроппер, обнаруженный экспертами F6, содержит четыре вредоносных модуля: Stealerium, DarkTrack, CryptoClipper и Revenge RAT. Для защиты кода используются протекторы Themida и .NET Reactor, что существенно усложняет анализ.
Устойчивость закрепления достигается за счёт изменения реестра Windows (раздел Run), копирования себя во временные каталоги с маскировкой под системные файлы, применения двойных расширений (.pdf.exe, .xlsx.scr) и подмены иконок, имитирующих документы Office или PDF.
С конца 2022 года группировка последовательно развивала инфраструктуру. Сначала домены C2-серверов выглядели как mydnsftp.myftp.biz и tgt55w.ddns.net. Эти ресурсы активно использовались для управления Stealerium, DarkTrack и Revenge RAT.
С 2023 года в арсенале появились домены rampage.myvnc.com, к концу 2024-го — серия динамических DNS-адресов с префиксом kilimanjaro: kilimanjaro.run.place, kilimanjaro.theworkpc.com, burkinafaso.duckdns.org и другие. В марте 2025 года были зафиксированы новые домены myhost.servepics.com и myhost.misecure.com.
Исследования показали, что эти домены объединяются в кластеры, связанные по IP-адресам. Например, tgt55w.ddns.net, mydnsftp.myftp.biz и host777.sytes.net периодически резолвились на одни и те же адреса, что позволяет точно отслеживать инфраструктурные связи.
Фальшивые сайты room155 — ещё один важный элемент схемы. Группировка зарегистрировала десятки доменов, часть которых объединена общим SSL-сертификатом. На этих сайтах размещаются копии страниц бухгалтерии или деловой переписки с формами авторизации, выполненными на базе CMS Joomla. Их внешний вид и структура регулярно меняются.
Среди дополнительных техник — доставка вредоносных архивов через облачные хранилища, например Mail.ru, что значительно усложняет их фильтрацию стандартными средствами.
В некоторых кампаниях room155 применяет Pastebin-ссылки для динамического получения адресов управляющих серверов. Такой подход зафиксирован, например, для образцов VenomRAT.
Финальный этап атаки — шифрование данных на устройствах жертв с помощью LockBit 3.0 Black . Этот вымогатель способен самостоятельно распространяться через локальную сеть, как червь, что многократно увеличивает охват атаки. Его билд активно используется room155 с 2023 года.
Кроме шифрования, зафиксированы случаи применения CryptoClipper (подмена адресов криптовалютных кошельков) и легитимного ПО AnyDesk для полного удалённого контроля над заражёнными машинами.
Статистика F6 Threat Intelligence показывает, что более половины атак room155 нацелены на финансовые организации. Среди жертв также — предприятия транспорта, промышленности, логистики, медицины, IT и строительства.
Анализ телеметрии F6 MXDR подтверждает: room155 демонстрирует высокую живучесть, оперативно реагирует на блокировки, меняет домены и IP-адреса, совершенствует вредоносное ПО, что требует повышенного внимания к защите.
Для минимизации рисков рекомендуется:
- усилить фильтрацию электронной почты с особым вниманием к архивам и вложениям;
- внедрить системы автоматического выявления омоглифов в названиях файлов и темах писем;
- использовать решения класса MXDR для проактивного обнаружения и блокировки подозрительной активности;
- отслеживать инфраструктурные индикаторы компрометации, включая домены, IP и сертификаты, связанные с room155.