Новая хакерская угроза: ReaverBits атакует российские организации
Специалисты FACCT выявили новую хакерскую группу, которая осуществляет рассылку вредоносных писем российским организациям от лица различных компаний и министерств.
На данный момент специалистам известно уже о пяти таких рассылках, две из которых произошли в декабре 2023 года, две — в январе 2024 года, а последняя — в мае. Целями атак стали неназванные российские компании из сферы розничной торговли, телекоммуникаций, процессинговая компания, агропромышленное объединение и федеральный фонд.
Согласно отчёту компании, в одной из вредоносных рассылок хакеры выдавали себя за интернет-магазин Skyey, сообщая жертве, что та якобы выиграла подарочную карту номиналом 10 000 рублей. В другом письме получателям предлагалась фальшивая скидка на запчасти для автомобилей УАЗ, а в третьем случае злоумышленники пытались выдать себя за Минцифру РФ и сообщали о необходимости установки сертификатов безопасности.
Эксперты выделяют следующие особенности, характерные для ReaverBits:
— Все известные на сегодняшний день атаки направлены исключительно на российские организации;
— Группа активно использует спуфинг;
— Злоумышленники применяют MetaStealer в качестве полезной нагрузки;
— В одной из атак группа использовала загрузчик LuckyDownloader, предположительно, воспользовавшись услугами другого злоумышленника, отслеживаемого под именем LuckyBogdan.
MetaStealer был впервые обнаружен ещё в марте 2022 года. Это форк известного стилера RedLine, предназначенного для кражи конфиденциальной информации из системы жертвы. Стилер продаётся на хакерских форумах злоумышленниками под псевдонимом META.
Ранее этот стилер использовали многие группировки, включая ReaverBits, Sticky Werewolf, VasyGrek и, вероятно, другие.