Новый вирус в письмах от МВД: ReaverBits использует Meduza Stealer
NewsMakerКибергруппировка усилила атаки в 2025 году.
Компания F6 зафиксировала новые атаки киберпреступной группировки ReaverBits, которая продолжает совершенствовать свои методы и атаковать российские компании. В последних атаках использовались усовершенствованные инструменты, такие как Meduza Stealer и новый бэкдор ReaverDoor, что говорит о росте технического потенциала хакеров .
ReaverBits действует с конца 2023 года и специализируется на атаках на организации в ключевых секторах российской экономики: биотехнологии, ритейл, агропромышленный комплекс, телекоммуникации и финансовый сектор. Группа известна изощренными методами социальной инженерии, спуфингом и фишинговыми кампаниями, направленными на сотрудников компаний. Вредоносное ПО распространяется под видом официальных документов государственных ведомств и легитимного программного обеспечения.
В сентябре 2024 года группа провела масштабную фишинговую атаку, используя поддельные электронные письма якобы от Следственного комитета России. Письма содержали вредоносное вложение в виде PDF-документа с темой «СК РФ Вызов на допрос». Открытие документа приводило к загрузке исполняемого файла, замаскированного под обновление Adobe Font Package. В результате пользователь заражал свою систему стилером Meduza Stealer, который собирал учетные данные, файлы и другую конфиденциальную информацию.
В январе 2025 года ReaverBits вновь активизировалась, рассылая письма от имени Министерства внутренних дел России. В сообщениях содержалась ссылка на якобы официальный документ, однако при переходе жертва загружала зараженный исполняемый файл «Повестка». Злоумышленники использовали механизмы проверки языка системы: если в настройках браузера был установлен русский язык, происходило перенаправление на вредоносный ресурс, в противном случае пользователь попадал на официальный сайт МВД. В загруженном файле находился загрузчик, основанный на легитимном инструменте NBTExplorer, который скачивал и запускал Meduza Stealer.
Технический анализ показал, что злоумышленники продолжают использовать схожие методики в своих атаках. Вредоносные загрузчики основаны на легитимных open-source проектах, в которые внедрен вредоносный код. Они загружают файлы с удаленных серверов, а их URI-адреса имеют унифицированное обозначение res.js. Вредоносные файлы шифруются по сложной схеме, включающей AES-256, PBKDF2, XOR и Base64, что значительно усложняет их обнаружение антивирусными системами.
Помимо Meduza Stealer, специалисты F6 выявили использование нового бэкдора ReaverDoor. Это вредоносное ПО предоставляет удаленный доступ к зараженным системам и использует запланированные задачи Windows для обеспечения устойчивости. Бэкдор загружается через поддельные цифровые сертификаты и автоматически подключается к серверу управления, получая команды на выполнение вредоносных действий.
Исследование также выявило связь между последними атаками и кампаниями ReaverBits, зафиксированными в 2024 году. Используемые техники включают загрузку вредоносных модулей через процесс инъекции (Process Hollowing), создание скрытых задач для выполнения вредоносного кода и применение сложных алгоритмов шифрования для маскировки командного управления.
Анализ атак показывает, что ReaverBits продолжает модернизировать свои инструменты, оставаясь при этом верной своим методам. Их главная цель — долгосрочное присутствие в сетях российских организаций и скрытая кража данных. Повышенный уровень скрытности атак делает их обнаружение сложным, что указывает на высокий уровень подготовки злоумышленников.
Компания F6 зафиксировала новые атаки киберпреступной группировки ReaverBits, которая продолжает совершенствовать свои методы и атаковать российские компании. В последних атаках использовались усовершенствованные инструменты, такие как Meduza Stealer и новый бэкдор ReaverDoor, что говорит о росте технического потенциала хакеров .
ReaverBits действует с конца 2023 года и специализируется на атаках на организации в ключевых секторах российской экономики: биотехнологии, ритейл, агропромышленный комплекс, телекоммуникации и финансовый сектор. Группа известна изощренными методами социальной инженерии, спуфингом и фишинговыми кампаниями, направленными на сотрудников компаний. Вредоносное ПО распространяется под видом официальных документов государственных ведомств и легитимного программного обеспечения.
В сентябре 2024 года группа провела масштабную фишинговую атаку, используя поддельные электронные письма якобы от Следственного комитета России. Письма содержали вредоносное вложение в виде PDF-документа с темой «СК РФ Вызов на допрос». Открытие документа приводило к загрузке исполняемого файла, замаскированного под обновление Adobe Font Package. В результате пользователь заражал свою систему стилером Meduza Stealer, который собирал учетные данные, файлы и другую конфиденциальную информацию.
В январе 2025 года ReaverBits вновь активизировалась, рассылая письма от имени Министерства внутренних дел России. В сообщениях содержалась ссылка на якобы официальный документ, однако при переходе жертва загружала зараженный исполняемый файл «Повестка». Злоумышленники использовали механизмы проверки языка системы: если в настройках браузера был установлен русский язык, происходило перенаправление на вредоносный ресурс, в противном случае пользователь попадал на официальный сайт МВД. В загруженном файле находился загрузчик, основанный на легитимном инструменте NBTExplorer, который скачивал и запускал Meduza Stealer.
Технический анализ показал, что злоумышленники продолжают использовать схожие методики в своих атаках. Вредоносные загрузчики основаны на легитимных open-source проектах, в которые внедрен вредоносный код. Они загружают файлы с удаленных серверов, а их URI-адреса имеют унифицированное обозначение res.js. Вредоносные файлы шифруются по сложной схеме, включающей AES-256, PBKDF2, XOR и Base64, что значительно усложняет их обнаружение антивирусными системами.
Помимо Meduza Stealer, специалисты F6 выявили использование нового бэкдора ReaverDoor. Это вредоносное ПО предоставляет удаленный доступ к зараженным системам и использует запланированные задачи Windows для обеспечения устойчивости. Бэкдор загружается через поддельные цифровые сертификаты и автоматически подключается к серверу управления, получая команды на выполнение вредоносных действий.
Исследование также выявило связь между последними атаками и кампаниями ReaverBits, зафиксированными в 2024 году. Используемые техники включают загрузку вредоносных модулей через процесс инъекции (Process Hollowing), создание скрытых задач для выполнения вредоносного кода и применение сложных алгоритмов шифрования для маскировки командного управления.
Анализ атак показывает, что ReaverBits продолжает модернизировать свои инструменты, оставаясь при этом верной своим методам. Их главная цель — долгосрочное присутствие в сетях российских организаций и скрытая кража данных. Повышенный уровень скрытности атак делает их обнаружение сложным, что указывает на высокий уровень подготовки злоумышленников.