Карты биты: новая группа ReaverBits атакует российские компании

В начале 2024 года специалисты F.A.C.C.T. Threat Intelligence обнаружили новую группу злоумышленников, которые рассылают вредоносные письма по российским организациям от имени разных компаний и министерств. Группе было присвоено название ReaverBits: «reaver» (в переводе «вор»), поскольку атакующие похищали данные с помощью стилера MetaStealer, шпионского ПО, направленного на кражу конфиденциальной информации с компьютера жертвы, а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».

На текущий момент нашим экспертам известно уже о 5 рассылках группы, две из них были зафиксированы в декабре 2023 года, две — в январе 2024 года, а последняя — в мае. Атаки направлены на российские компании из сферы ритейла, телекоммуникаций, процессинговую компанию, агропромышленное объединение, федеральный фонд. Все рассылки были заблокированы системойF.A.С.С.T. Managed XDR, клиенты F.A.C.C.T. получили оперативные уведомления об угрозах с их полным техническим анализом.

Выделим основные черты, характеризующие обнаруженную группу ReaverBits:

известные на сегодняшний день атаки со стороны группы были направлены исключительно на российские организации;

группа активно применяет спуфинг;

злоумышленники используют MetaStealer в качестве нагрузки;

в одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.

Инфраструктура группы ReaverBits и связанные файловые индикаторы приведены в разделе индикаторы компрометации нового блога, а граф сетевой инфраструктуры — на рис. 1.

В ходе ежедневного мониторинга угроз специалистами F.A.C.C.T. было обнаружено письмо (рис. 2), отправленное 26 декабря 2023 года якобы от имени интернет-магазина Skyey. Тема