Специалисты FACCT обнаружили новую хак-группу, которая рассылает вредоносные письма российским организациям от имени разных компаний и министерств.
В настоящий момент исследователям известно уже о пяти рассылках группы, две из которых были зафиксированы в декабре 2023 года, две — в январе 2024 года, а последняя — в мае. Атаки были направлены на неназванные российские компании из сферы ритейла, телекоммуникаций, процессинговую компанию, агропромышленное объединение и федеральный фонд.
Согласно отчету компании, в одной из вредоносных рассылок хакеры маскировались под интернет-магазин Skyey, сообщая жертве, что та якобы выиграла подарочную карту номиналом 10 000 рублей. В другой рассылке цели предлагали фальшивую скидку на запчасти для автомобилей УАЗ, а в третьем случае злоумышленники пытались выдать себя за Минцифры РФ и сообщали о необходимости установки сертификатов безопасности.
Среди характерных для ReaverBits особенностей эксперты перечисляют следующие:
- Все известные на сегодняшний день атаки направлены исключительно на российские организации;
- группа активно применяет спуфинг;
- злоумышленники используют MetaStealer в качестве полезной нагрузки;
- в одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой другого злоумышленника, отслеживаемого по имени LuckyBogdan.
MetaStealer впервые был обнаружен еще в марте 2022 года. Он представляет собой форк известного стилера RedLine, предназначенного для кражи конфиденциальной информации из системы жертвы. Стилер продает на хак-форумах злоумышленник под псевдонимом __META__.
Исследователи напоминают, что ранее этот стилер использовался многими группировками, в частности ReaverBits, Sticky Werewolf, VasyGrek и, вероятно, другими.
