Компания F6, разработчик технологий для борьбы с киберпреступностью, предупредила о новых угрозах, которые подготовила известная атаками на российские высокотехнологичные компании группа ReaverBits. В январе 2025 г. эксперты департамента киберразведки обнаружили фишинговые письма, которые злоумышленники рассылали от имени МВД России с темой «СК РФ Вызов на допрос». В ходе поисков и исследования файлов, связанных с этой атакой, аналитики F6 обнаружили ранее неизвестный бэкдор, который получил название ReaverDoor.

Специалисты департамента киберразведки (Threat Intelligence) компании F6 продолжают отслеживать активность группы ReaverBits и разобрали цепочки заражения, которые применяют злоумышленниками.

ReaverBits (от слов reaver – «вор», и bits – сокращение от Bitbucket, сервиса совместной разработки проектов, используемого атакующими) – группа киберпреступников, которая действует с конца 2023 г. Специализируется на атаках на российские компании в таких ключевых областях, как биотехнологии, розничная торговля, агропромышленный комплекс, телекоммуникации и финансовый сектор.

Отличительные особенности этой группировки – целенаправленные атаки исключительно на российские организации, активное использование методов спуфинга при проведении фишинговых атак, а также применение вредоносного ПО класса «стилер» в качестве основной полезной нагрузки.

С сентября 2024 по январь 2025 г. специалисты Threat Intelligence компании F6 зафиксировали три разные цепочки заражения, в которых использовались обновленные инструменты. Среди них как публично продающийся Meduza Stealer, так и нехарактерное для группы уникальное вредоносное ПО — ReaverDoor. Злоумышленники распространяют вредоносное программное обеспечение под видом легитимных цифровых сертификатов и обновлений.

Так, в сентябре 2024 г. исследователи фиксировали рассылки фишинговых электронных писем, направляемых от имени Следственного комитета Российской Федерации. Через поддельные письма злоумышленники из ReaverBits распространяли Meduza Stealer. Письма с темой «СК РФ Вызов на допрос» содержали вредоносное вложение в виде PDF-документа, после запуска которого жертве отображалось уведомление о необходимости обновления Adobe Font Package, и ссылку для его загрузки.

В январе 2025 г. специалисты F6 обнаружили электронное письмо, отправленное от имени Министерства внутренних дел Российской Федерации с аналогичной темой «СК РФ Вызов на допрос». Внутри письма содержалась ссылка якобы для скачивания документа. Когда жертва переходила по ссылке, сервер проверял язык браузера. В случае использования русского языка жертва перенаправлялась по ссылке и скачивался файл «Повестка». В этой атаке также использовался Meduza Stealer.

Продолжив поиски и исследование файлов, связанных с этой атакой, аналитики Threat Intelligence компании F6 обнаружили ранее неописанный бэкдор, который получил название ReaverDoor.

Как отмечают специалисты F6, атаки ReaverBits по-прежнему нацелены исключительно на российские организации, а эволюция инструментов может свидетельствовать о подготовке к более масштабным атакам. Применяемые методы значительно повышают уровень скрытности группировки, что затрудняет её обнаружение и анализ. Это свидетельствует о стремлении группировки к долгосрочному присутствию в сетях российских организаций, а также о постоянном совершенствовании ее инструментов и техник обхода средств киберзащиты.

Короткая ссылка