В начале 2024 года специалисты F.A.C.C.T. Threat Intelligence обнаружили новую группу злоумышленников, которые рассылают вредоносные письма по российским организациям от имени разных компаний и министерств. Группе было присвоено название ReaverBits: «reaver» (в переводе «вор»), поскольку атакующие похищали данные с помощью стилера MetaStealer, шпионского ПО, направленного на кражу конфиденциальной информации с компьютера жертвы, а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».
На текущий момент нашим экспертам известно уже о 5 рассылках группы, две из них были зафиксированы в декабре 2023 года, две — в январе 2024 года, а последняя — в мае. Атаки направлены на российские компании из сферы ритейла, телекоммуникаций, процессинговую компанию, агропромышленное объединение, федеральный фонд. Все рассылки были заблокированы системой F.A.С.С.T. Managed XDR, клиенты F.A.C.C.T. получили оперативные уведомления об угрозах с их полным техническим анализом.
Рассылка#1: Подарочная карта
В ходе ежедневного мониторинга угроз специалистами F.A.C.C.T. было обнаружено письмо (рис. 1), отправленное 26 декабря 2023 года якобы от имени интернет-магазина Skyey. Тема письма: «[контактное лицо], вы выграли 10 000 Рублей от Skyey.ru» (примечание: в теме атакующие допустили опечатку, написав «выграли» вместо «выиграли»).
![](https://www.facct.ru/wp-content/uploads/ris.1-reaverbits.png)
Рис. 1 – содержимое письма от 26.12.2023 из рассылки#1
Письмо было отправлено с адреса «notify@ispsystem.com», но атакующие использовали спуфинг для смены видимости оригинального адреса отправителя на info@skyey.ru. Среди получателей были замечены организации из сфер ритейла, телекоммуникаций и процессинговая компания. Письмо содержало архив «skyey.ru_gift_10000.7z», внутри которого находится исполняемый файл «skyey.ru_gift_10000.exe», представляющий собой MetaStealer с C2-адресом 193[.]124[.]92[.]156:18910. Build ID образца: «Mail_test_2512».
Рассылка#2: Персональные скидки
Днем позднее, 27 декабря, злоумышленниками рассылалось еще одно письмо (рис. 2), отправленное с электронного адреса «no-reply@parts.uaz.ru». Однако, опять же с помощью спуфинга был заменен оригинальный адрес отправителя на «parts@uaz.ru». Доменное имя адреса электронной почты отправителя принадлежит инфраструктуре компании УАЗ. Письмо было направлено в одно из агропромышленных объединений и содержало предложение о скидке на запчасти для автомобилей УАЗ.
![](https://www.facct.ru/wp-content/uploads/ris.2-reaverbits.png)
Рис. 2 – содержимое письма от 27.12.2023 из рассылки#2
Тело письма содержит две одинаковые ссылки, по которой получателю предлагается скачать список товаров для получения персональной скидки. Ссылка из письма:
hXXp://parts.uaz.ru/bitrix/tools/track_mail_click.php?tag=sender.eyJSRUNJUElFTlRfSUQiOiIyOTY4MiJ9&url=hXXps://parts.uaz.ru/upload/UAZ_Terms.zip3Fbx_sender_conversion_id%3D29682%26utm_source%3Dnewsletter%26utm_medium%3Dmail%26utm_campaign%3Dpersonalnye_skidki_do_90_na_zapchasti_ko_vsem_modelyam_uaz_spetsialno_dlya_vas&sign=90692d7fade50d16717ab93553d670b374ccc00dadb50a1cdf907b0bb8f66883
При переходе по ссылке выполняется bitrix запрос, в результате жертва перенаправляется на адрес, где размещен вредоносный архив — hXXps://parts.uaz.ru/upload/UAZ_Terms.zip. Важно отметить, что доменное имя совпадает с адресом отправителя письма, причем он принадлежит инфраструктуре УАЗ. Загруженный архив «UAZ_Terms.zip» содержит исполняемый файл «GAZ_Terms_02.exe», классифицируемый как MetaStealer, и имеет следующий C2 адрес: 193[.]124[.]92[.]156:18910. Build ID образца: «56484355»
Кроме того, был обнаружен архив, связанный с текущей атакой — «GAZ_Terms_01.zip». Он содержит исполняемый файл «GAZ_Terms_01.exe», загружающий MetaStealer с адреса hXXp://91.92.248.132/files/pdf.exe. В качестве C2 используется тот же сервер, что и у образца выше — 193[.]124[.]92[.]156:18910. Build ID образца: «56484463».
Очевидно, что за этими рассылками стоит один и тот же атакующий, поскольку они были проведены с разницей в один день, и использовался один и тот же адрес управляющего сервера. А слово «test» в идентификаторе сборки образца из рассылки#1 говорит о том, что это, возможно, либо первая активность группировки, либо первое ее использование инструмента MetaStealer для проведения атаки.
Рассылка#3 и рассылка#4: Установите сертификаты
12 и 25 января 2024 года злоумышленники отправляли одинаковые письма, в которых отправителем, как и в рассылке#1, был «notify@ispsystem.com». Атакующие пытались мимикрировать под Минцифры России (Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации), подменив с помощью спуфинга адрес отправителя на «info@digital.gov.ru». Пример письма от 25 января, которое уже упоминалось нашими специалистами ранее, приведен на рис.3. Получателем писем была организация из сферы ритейла.
![](https://www.facct.ru/wp-content/uploads/ris.3-reaverbits.png)
Рис. 3 – содержимое письма от 25.01.2024 из рассылки#4
Письма содержали ссылки, при переходе по которым мог загрузиться либо архив (SHA-1: 242fb5d530c4da533bac43ef6d4e26af7e080adb), либо исполняемый файл (SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee). Шаблон ссылок, которые использовались в письмах:
- hXXps://wb4o.com/click?key=667d6c67929b40aa205b&sub1={TARGETED_EMAIL};
- hXXps://trustmailing.store/click?key=655f0cea5f7311c7ea2d&event1={TARGETED_EMAIL} (примечание: на момент исследования нагрузка по этому адресу была недоступна).
Загружаемый по ссылке архив содержал два идентичных исполняемых файла, которые маскируются под сертификат безопасности:
- «russian_trusted_root_ca.cer.exe» (SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee);
- «russian_trusted_sub_ca.cer.exe» (SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee).
В ходе исследования специалисты F.A.C.C.T. обнаружили, что архив (SHA-1: 242fb5d530c4da533bac43ef6d4e26af7e080adb), который мог загрузиться по ссылке из письма, также был доступен по адресу: hXXps://neborecords.ru/upload/c/russian_trusted_ca_ms.cer.rar.
Хеш-суммы файлов в этом архиве совпадают с хеш-суммой файла, который мог быть загружен по прямой ссылке из письма. Этот файл является загрузчиком вредоносного ПО, который мы отслеживаем по имени LuckyDownloader. Он выполняет загрузку и расшифровку файла, который будет внедрен в память легитимного процесса и исполнен в контексте этого процесса.
В обнаруженном случае нагрузка загружалась с адреса:
- hXXps://bitbucket.org/aliwudasdfasd/testt/raw/c5db5c5a41dc60ca48e98c4f2b6a0c6fa1229cec/makuff
и инжектировалась в легитимный процесс исполняемого файла по следующему пути: C:\Windows\Microsoft.NET\Framework\v4.0.30319\jsc.exe.
Расшифрованная нагрузка (SHA-1: 420f24b967783aedc816f83bddb2f71493a452f6) представляет собой MetaStealer с С2-адресом: 45[.]11[.]24[.]211:25860. Build ID образца: «znz_crypt».
Рассылка#5: Обязательно к ознакомлению
В мае 2024 года наши коллеги поделились с нами сведениями об одной вредоносной активности, которую также удалось связать с группой ReaverBits. Обнаруженное электронное письмо (рис. 4) было отправлено 15 мая 2024 года от одного сотрудника другому внутри подразделения одного из федеральных фондов России. Письмо имеет тему «Fwd: Всем руководителям структурных подразделений: Об учете сведений, при предоставлении МСП и отчетности».
![](https://www.facct.ru/wp-content/uploads/ris.4-reaverbits.png)
Рис. 4 – содержимое письма от 15.05.2024 из рассылки#5
Вложение представляет собой запароленный Zip-архив «начальникам.xlsx.zip», пароль от которого указан в теле письма («123»). Архив содержит исполняемый файл «начальникам.xlsx.exe», который основан на проекте с исходным кодом hXXps://github.com/jaquadro/NBTExplorer/. В данный проект был добавлен вредоносный код, который позволял файлу загрузить и запустить полезную нагрузку. Нагрузка загружается при обращении к C2: hXXp://45[.]137[.]20[.]39/res.js в зашифрованном и закодированном виде. Алгоритм дешифрования представлен на рис.5.
![](https://www.facct.ru/wp-content/uploads/ris.5-reaverbits.png)
Рис. 5 – алгоритм дешифрования полезной нагрузки из рассылки#5
После запуска полезной нагрузки в каталоге %Temp%\[RND1]\[RND2]\ будут созданы 3 файла со случайными названиями:
- исполняемый файл;
- текстовый файл с зашифрованными данными №1;
- текстовый файл с зашифрованными данными №2.
Исполняемый файл выполняет дешифрование и запуск двух текстовых файлов в соответствии с рис.6.
![](https://www.facct.ru/wp-content/uploads/ris.6-reaverbits.png)
Рис. 6 – код для дешифрования и запуска текстовых файлов с зашифрованными данными из рассылки#5
Первый «текстовый» файл – это инжектор, который перезапускает собственный файл и при помощи техники «Process Hollowing» внедряет в него код полезной нагрузки из «текстового» файла №2. Участок кода, реализующий эту функциональность, представлен на рис. 7.
![](https://www.facct.ru/wp-content/uploads/ris.7-reaverbits.png)
Рис. 7 – реализация функции Main2 полезной нагрузки из рассылки#5
Перед выполнением нагрузка проверяет с помощью функции «AntiVM» (рис. 8), запущена ли она на виртуальной машине.
![](https://www.facct.ru/wp-content/uploads/ris.8-reaverbits.png)
Рис. 8 – реализация функции AntiVM полезной нагрузки из рассылки#5
Если нагрузка не запущена на виртуальной машине, то, как упоминалось ранее, «текстовый» файл №2 будет расшифрован и внедрен в память процесса. Нагрузка была классифицирована как MetaStealer, использующий в качестве C2: tcp://193[.]124[.]92[.]156:25860/. Этот IP-адрес уже использовался в рассылках #1 и #2. Build ID образца: «421».
MetaStealer
MetaStealer впервые был выявлен в марте 2022 года. Он представляет собой форк известного стилера RedLine, предназначенного для кражи конфиденциальной информации с компьютера жертвы. Но в отличие от RedLine, MetaStealer может работать в странах СНГ в дополнение к обычным возможностям RedLine. Данный стилер продает на андегаундных форумах злоумышленник под псевдонимом «__META__». Стоит отметить, что этот стилер использовался множеством группировок, в частности ReaverBits, Sticky Werewolf, VasyGrek и, вероятно, другими. Описание стилера MetaStealer из объявления о продаже приведено на рис. 9.
![](https://www.facct.ru/wp-content/uploads/ris.9-reaverbits.png)
Рис. 9 – описание вредоносного ПО MetaStealer из объявления о продаже
Связь LuckyDownloader и LuckyBogdan
При анализе январской рассылки#4, специалисты F.A.C.C.T. выявили загрузчик, которому дали название LuckyDownloader. Во время атаки он загружал нагрузку с BitBucket репозитория в зашифрованном виде с адреса:
- hXXps://bitbucket.org/aliwudasdfasd/testt/raw/c5db5c5a41dc60ca48e98c4f2b6a0c6fa1229cec/makuff
На рис. 10 видно, что все изменения в репозиторий вносились одним аккаунтом с именем Богдан.
![](https://www.facct.ru/wp-content/uploads/ris.10-reaverbits.png)
Рис. 10 – содержимое раздела «commits» репозитория hxxps://bitbucket.org/aliwudasdfasd
Также было обнаружено, что при компиляции образцов загрузчика разработчик не очищает PDB-пути, и два из известных образца загрузчика имеют одинаковое имя пользователя системы в своем PDB-пути. Примеры PDB-путей:
- C:\Users\удача\Desktop\SAXAL\Release\MyCrypto.pdb;
- C:\Users\удача\Desktop\ProjectStub\StubC++\Release\MyCrypto.pdb.
В ходе исследования других файлов, расположенных в этом репозитории, было установлено, что они имеют разные классификации и инфраструктуру, а атаки на основе этих инструментов имеют разные региональные цели и методы распространения.
На основании имеющихся данных был сформирован актор с именем LuckyBogdan, который, предположительно, занимается шифрованием полученного от клиента ВПО, размещает его в зашифрованном виде в BitBucket репозитории и предоставляет оператору загрузчик LuckyDownloader, который выполнит доставку, расшифровку и запуск ВПО на зараженной системе.
Заключение
Инфраструктура группы ReaverBits и связанные файловые индикаторы приведены в разделе индикаторы компрометации, а граф сетевой инфраструктуры — на рис. 11.
![](https://www.facct.ru/wp-content/uploads/ris.11-reaverbits.png)
Рис. 11 – графовое представление инфраструктуры группы ReaverBits в системе Graph Threat Intelligence F.A.C.C.T.
Резюмируя, отметим черты, характеризующие обнаруженную группу ReaverBits:
- известные на сегодняшний день атаки со стороны группы были направлены исключительно на российские организации;
- группа активно применяет спуфинг;
- злоумышленники используют MetaStealer в качестве нагрузки;
- в одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.
Индикаторы компрометации
Файловые индикаторы
skyey.ru_gift_10000.7z
- MD5: 362293abfbf3d03372e0238a8a32cbdf
- SHA-1: 8040d35cbe90b4ced5ff4b2677ea9aee6691e822
- SHA-256: 4dd2083783d5e61953a8e92ebbccb16eb9a5d7c46367d14e4d202faa52b3c1eb
skyey.ru_gift_10000.exe
- MD5: e19b344fa948e47b773010cd433f4556
- SHA-1: 24a88a8104f68409c5b9090b81bf447100e3b260
- SHA-256: eac32100aa4f4957ceb09c13b833a333ea07c79c182d07a93e3d0703a4135697
UAZ_Terms.zip
- MD5: 27e53e4d183d4e3ec2c3e885506535cc
- SHA-1: 1684c0ed1301b52bc46a3c9af90054aa5a50d4cd
- SHA-256: f7e42c10f2c9f41bc99c63e0c4852ed37a406566bd0ff44a600d56046975b709
GAZ_Terms_02.exe
- MD5: 5c0721250511a3c94aae900f633c7cae
- SHA-1: 07fbdd8549a421e49ee8bf8e88318667b2cc10d8
- SHA-256: 149233096f0e3cdb49bc0e6a45da50e54e9d2d9317fbee676cebc77f8de7e540
GAZ_Terms_01.zip
- MD5: 86d37a83e97c4c7f77a2728f24a1f2b7
- SHA-1: b7ac1f07b52ec8c458f4b33f8e3b63b25da3bb21
- SHA-256: 2854188a6a09243fc04daf86045148b950b808bfbb6a116c5f474a389154f2c6
GAZ_Terms_01.exe
- MD5: 0526fb32e78f918dd52134e197c21f54
- SHA-1: 5a757c08624c4eed73d2eac12b73daf940e0c0e0
- SHA-256: 15adb154e14f3368db25bce7e45b756391ad9982d2af0687f56cc9a99527cd98
pdf.exe
- MD5: 83b5f3aaeeb657f99fbf19170d0faad4
- SHA-1: 3e81fb9dccad889c9ea0731a72a02f69be80e878
- SHA-256: 40e6703c48c2f1d3e6d4c38538d3c4711e48b9dbb69706a4395f8c61b12f825e
russian_trusted_ca_ms.cer.rar
- MD5: d6614a8af0f59ed40d1590f215232143
- SHA-1: 242fb5d530c4da533bac43ef6d4e26af7e080adb
- SHA-256: f103f9db15ab6b52e5bf64dd7b13bf52f313797c3cd05ec13a261e51a893279e
russian_trusted_root_ca.cer.exe/ russian_trusted_sub_ca.cer.exe
- MD5: e1d7b2b67c26fb7a104d0141606fc70b
- SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee
- SHA-256: d5b475717d872b56324d03f51d37a182c1df479ae3dccb3a84e53fae7e17fa28
- MD5: b7c549b9691cdcf7cf438096cb9c1584
- SHA-1: 420f24b967783aedc816f83bddb2f71493a452f6
- SHA-256: e3bb4d91fc976059f906d22388bde5bf1f1005acdbe760cbb17e3b3233d8a160
начальникам.xlsx.zip
- MD5: 299a89660de88f33eb96be041c40be28
- SHA-1: b21befe7a4570ec907237bad953e6dee45031448
- SHA-256: 14a487418047de1976a1a9df8211f1646618c01e77c839ecc1dbaa4e5b857acd
начальникам.xlsx.exe
- MD5: 776a7eaca0c54ab145ae77d2d432db7a
- SHA-1: 25bddf07674c0c7cd08a89081597713d19fb1232
- SHA-256: 43da612218fc783ee9f0e6fe31f5644014a5e82820a84b320c836e593fe21dab
Undet.exe
- MD5: a496ef2f9bb758e16d388f81b24c18e3
- SHA-1: e807d24208f217684f92107b0af89486c57eee6b
- SHA-256: e81929a471026c7143561512583c9d0bb3a5a96d932f92961ee4d70b59d42424
Сетевые индикаторы
- hXXp://parts[.]uaz[.]ru/bitrix/tools/track_mail_click.php?tag=sender.eyJSRUNJUElFTlRfSUQiOiIyOTY4MiJ9&url=hXXps://parts[.]uaz[.]ru/upload/UAZ_Terms[.]zip**{REDACTED}**
- hXXps://parts.uaz.ru/upload/UAZ_Terms.zip
- hXXp://91.92.248[.]132/files/pdf.exe
- hXXps://neborecords.ru/upload/c/russian_trusted_ca_ms.cer.rar
- hXXps://bitbucket.org/aliwudasdfasd/testt/raw/c5db5c5a41dc60ca48e98c4f2b6a0c6fa1229cec/makuff
- hXXp://45.137.20.39/res.js
- 91.92.248[.]132
- 45.11.24[.]211
- 193.124.92[.]156
- 45.137.20[.]39
MITRE ATT&CK®
ТАКТИКИ | ТЕХНИКИ | ПРОЦЕДУРЫ |
Resource development (TA0042) | Obtain Capabilities: Malware (T1588.001) | ReaverBits используют загрузчик вредоносного ПО LuckyDownloader, вероятно, приобретенный у другого атакующего, и стилер MetaStealer, продающийся на андеграундных форумах. |
Initial Access (TA0001)
|
Phishing: Spearphishing Attachment (T1566.001) | ReaverBits используют письма с вложенным архивом, содержащим исполняемый файл (MetaStealer). |
Phishing: Spearphishing Link (T1566.002)
|
ReaverBits используют письма со ссылками, при переходе по которым загружаются либо архивы, либо вредоносные исполняемые файлы. | |
Trusted Relationship (T1199)
|
ReaverBits используют инфраструктуру легитимной компании для отправки письма от ее имени и для размещения следующей стадии, которая была доступна по ссылке из отправленного письма. | |
Execution (TA0002)
|
||
User Execution: Malicious File (T1204.002) | ReaverBits используют письма с вложенным архивом, содержащим исполняемый файл (MetaStealer), который должен быть запущен пользователем для успешной атаки. | |
User Execution: Malicious Link (T1204.001)
|
ReaverBits используют письма со ссылками, при переходе пользователем по которым загружаются либо архивы, либо вредоносные исполняемые файлы. | |
Persistence (TA0003) | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) | ReaverBits использует в атаке MetaStealer, который добавляет себя в Startup директорию после получения конфигурации от C2 сервера. |
Privilege escalation (TA0004) | Process Injection: Portable Executable Injection (T1055.002) | ReaverBits использует в атаке загрузчик LuckyDownloader, который внедряет загруженную полезную нагрузку в легитимные процессы. |
Defense evasion (TA0005)
|
Deobfuscate/Decode Files or Information (T1140) | ReaverBits использует в атаке MetaStealer, который хранит строки в зашифрованном виде. |
Obfuscated Files or Information: Software Packing (T1027.002) | ReaverBits используют MetaStealer, упакованный различными инструментами. | |
Virtualization/Sandbox Evasion: System Checks (T1497.001) | ReaverBits используют MetaStealer, который проверяет имя пользователя и имя компьютера, а при совпадении со значениями из списка MetaStealer завершит свою работу. | |
Credential access (TA0006) | Credentials from Password Stores: Credentials from Web Browsers (T1555.003) | ReaverBits используют MetaStealer, который имеет возможность кражи файлов из директорий браузеров. |
Discovery (TA0007)
|
||
Process Discovery (T1057) | ReaverBits используют MetaStealer, который способен получать список запущенных процессов на зараженной системе. | |
Query Registry (T1012) | ReaverBits используют MetaStealer, который получает информацию о системе с помощью проверки ключей реестра. | |
Software Discovery: Security Software Discovery (T1518.001) | ReaverBits используют MetaStealer, который с помощью WMI запросов проверяет наличие антивирусного ПО на зараженной системе. | |
System Information Discovery (T1082) | ReaverBits используют MetaStealer, который с помощью ключей реестра и WMI запросов способен собирать информацию о зараженной системе (версия Windows, размер дисков и др..) | |
Virtualization/Sandbox Evasion: System Checks (T1497.001) | ReaverBits используют MetaStealer, который проверяет имя пользователя и имя компьютера, а при совпадении со значениями из списка MetaStealer завершит свою работу. | |
Collection (TA0009)
|
Data from Local System (T1005) | ReaverBits используют MetaStealer, который способен красть файлы с зараженной системы с помощью специальных шаблонов в своей конфигурации. |
Screen Capture (T1113) | ReaverBits используют MetaStealer, который способен красть снимки экрана жертвы. | |
Command and Control (TA0011)
|
Application Layer Protocol (T1071) | ReaverBits используют протоколы HTTP и HTTPS для загрузки полезной нагрузки с сервера. |
Non-Application Layer Protocol (T1095) | ReaverBits применяет MetaStealer, который с помощью класса ChannelFactory выполняет соединения с C2 сервером с помощью TCP протокола. | |
Ingress Tool Transfer (T1105) | ReaverBits используют загрузчики, в частности, LuckyDownloader, которые доставляют и запускают MetaStealer на зараженной системе. | |
Non-Standard Port (T1571) | ReaverBits применяют MetaStealer, который для взаимодействия с C2 применял порты: 18910, 25860. | |
Exfiltration (TA0010) | Exfiltration Over C2 Channel (T1041) | ReaverBits применяют MetaStealer, который выполняет эксфильтрацию собранных данных с зараженной системы на С2 сервер. |