Карты биты: новая группа ReaverBits атакует российские компании

В начале 2024 года специалисты F.A.C.C.T. Threat Intelligence обнаружили новую группу злоумышленников, которые рассылают вредоносные письма по российским организациям от имени разных компаний и министерств. Группе было присвоено название ReaverBits: «reaver» (в переводе «вор»), поскольку атакующие похищали данные с помощью стилера MetaStealer, шпионского ПО, направленного на кражу конфиденциальной информации с компьютера жертвы, а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».

На текущий момент нашим экспертам известно уже о 5 рассылках группы, две из них были зафиксированы в декабре 2023 года, две — в январе 2024 года, а последняя — в мае. Атаки направлены на российские компании из сферы ритейла, телекоммуникаций, процессинговую компанию, агропромышленное объединение, федеральный фонд. Все рассылки были заблокированы системой F.A.С.С.T. Managed XDR, клиенты F.A.C.C.T. получили оперативные уведомления об угрозах с их полным техническим анализом.

Рассылка#1: Подарочная карта

В ходе ежедневного мониторинга угроз специалистами F.A.C.C.T. было обнаружено письмо (рис. 1), отправленное 26 декабря 2023 года якобы от имени интернет-магазина Skyey. Тема письма: «[контактное лицо], вы выграли 10 000 Рублей от Skyey.ru» (примечание: в теме атакующие допустили опечатку, написав «выграли» вместо «выиграли»).

Письмо было отправлено с адреса «notify@ispsystem.com», но атакующие использовали спуфинг для смены видимости оригинального адреса отправителя на info@skyey.ru. Среди получателей были замечены организации из сфер ритейла, телекоммуникаций и процессинговая компания. Письмо содержало архив «skyey.ru_gift_10000.7z», внутри которого находится исполняемый файл «skyey.ru_gift_10000.exe», представляющий собой MetaStealer с C2-адресом 193[.]124[.]92[.]156:18910. Build ID образца: «Mail_test_2512».

Рассылка#2: Персональные скидки

Днем позднее, 27 декабря, злоумышленниками рассылалось еще одно письмо (рис. 2), отправленное с электронного адреса «no-reply@parts.uaz.ru». Однако, опять же с помощью спуфинга был заменен оригинальный адрес отправителя на «parts@uaz.ru». Доменное имя адреса электронной почты отправителя принадлежит инфраструктуре компании УАЗ. Письмо было направлено в одно из агропромышленных объединений и содержало предложение о скидке на запчасти для автомобилей УАЗ.

Тело письма содержит две одинаковые ссылки, по которой получателю предлагается скачать список товаров для получения персональной скидки. Ссылка из письма:

hXXp://parts.uaz.ru/bitrix/tools/track_mail_click.php?tag=sender.eyJSRUNJUElFTlRfSUQiOiIyOTY4MiJ9&url=hXXps://parts.uaz.ru/upload/UAZ_Terms.zip3Fbx_sender_conversion_id%3D29682%26utm_source%3Dnewsletter%26utm_medium%3Dmail%26utm_campaign%3Dpersonalnye_skidki_do_90_na_zapchasti_ko_vsem_modelyam_uaz_spetsialno_dlya_vas&sign=90692d7fade50d16717ab93553d670b374ccc00dadb50a1cdf907b0bb8f66883

При переходе по ссылке выполняется bitrix запрос, в результате жертва перенаправляется на адрес, где размещен вредоносный архив — hXXps://parts.uaz.ru/upload/UAZ_Terms.zip. Важно отметить, что доменное имя совпадает с адресом отправителя письма, причем он принадлежит инфраструктуре УАЗ. Загруженный архив «UAZ_Terms.zip» содержит исполняемый файл «GAZ_Terms_02.exe», классифицируемый как MetaStealer, и имеет следующий C2 адрес: 193[.]124[.]92[.]156:18910. Build ID образца: «56484355»

Кроме того, был обнаружен архив, связанный с текущей атакой — «GAZ_Terms_01.zip». Он содержит исполняемый файл «GAZ_Terms_01.exe», загружающий MetaStealer с адреса hXXp://91.92.248.132/files/pdf.exe. В качестве C2 используется тот же сервер, что и у образца выше — 193[.]124[.]92[.]156:18910. Build ID образца: «56484463».

Очевидно, что за этими рассылками стоит один и тот же атакующий, поскольку они были проведены с разницей в один день, и использовался один и тот же адрес управляющего сервера. А слово «test» в идентификаторе сборки образца из рассылки#1 говорит о том, что это, возможно, либо первая активность группировки, либо первое ее использование инструмента MetaStealer для проведения атаки.

Рассылка#3 и рассылка#4: Установите сертификаты

12 и 25 января 2024 года злоумышленники отправляли одинаковые письма, в которых отправителем, как и в рассылке#1, был «notify@ispsystem.com». Атакующие пытались мимикрировать под Минцифры России (Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации), подменив с помощью спуфинга адрес отправителя на «info@digital.gov.ru». Пример письма от 25 января, которое уже упоминалось нашими специалистами ранее, приведен на рис.3. Получателем писем была организация из сферы ритейла.

Письма содержали ссылки, при переходе по которым мог загрузиться либо архив (SHA-1: 242fb5d530c4da533bac43ef6d4e26af7e080adb), либо исполняемый файл (SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee). Шаблон ссылок, которые использовались в письмах:

• hXXps://wb4o.com/click?key=667d6c67929b40aa205b&sub1={TARGETED_EMAIL};
• hXXps://trustmailing.store/click?key=655f0cea5f7311c7ea2d&event1={TARGETED_EMAIL} (примечание: на момент исследования нагрузка по этому адресу была недоступна).

Загружаемый по ссылке архив содержал два идентичных исполняемых файла, которые маскируются под сертификат безопасности:

• «russian_trusted_root_ca.cer.exe» (SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee);
• «russian_trusted_sub_ca.cer.exe» (SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee).

В ходе исследования специалисты F.A.C.C.T. обнаружили, что архив (SHA-1: 242fb5d530c4da533bac43ef6d4e26af7e080adb), который мог загрузиться по ссылке из письма, также был доступен по адресу: hXXps://neborecords.ru/upload/c/russian_trusted_ca_ms.cer.rar.

Хеш-суммы файлов в этом архиве совпадают с хеш-суммой файла, который мог быть загружен по прямой ссылке из письма. Этот файл является загрузчиком вредоносного ПО, который мы отслеживаем по имени LuckyDownloader. Он выполняет загрузку и расшифровку файла, который будет внедрен в память легитимного процесса и исполнен в контексте этого процесса.

В обнаруженном случае нагрузка загружалась с адреса:

• hXXps://bitbucket.org/aliwudasdfasd/testt/raw/c5db5c5a41dc60ca48e98c4f2b6a0c6fa1229cec/makuff

и инжектировалась в легитимный процесс исполняемого файла по следующему пути: C:\Windows\Microsoft.NET\Framework\v4.0.30319\jsc.exe.

Расшифрованная нагрузка (SHA-1: 420f24b967783aedc816f83bddb2f71493a452f6) представляет собой MetaStealer с С2-адресом: 45[.]11[.]24[.]211:25860. Build ID образца: «znz_crypt».

Рассылка#5: Обязательно к ознакомлению

В мае 2024 года наши коллеги поделились с нами сведениями об одной вредоносной активности, которую также удалось связать с группой ReaverBits. Обнаруженное электронное письмо (рис. 4) было отправлено 15 мая 2024 года от одного сотрудника другому внутри подразделения одного из федеральных фондов России. Письмо имеет тему «Fwd: Всем руководителям структурных подразделений: Об учете сведений, при предоставлении МСП и отчетности».

Вложение представляет собой запароленный Zip-архив «начальникам.xlsx.zip», пароль от которого указан в теле письма («123»). Архив содержит исполняемый файл «начальникам.xlsx.exe», который основан на проекте с исходным кодом hXXps://github.com/jaquadro/NBTExplorer/. В данный проект был добавлен вредоносный код, который позволял файлу загрузить и запустить полезную нагрузку. Нагрузка загружается при обращении к C2: hXXp://45[.]137[.]20[.]39/res.js в зашифрованном и закодированном виде. Алгоритм дешифрования представлен на рис.5.

После запуска полезной нагрузки в каталоге %Temp%\[RND1]\[RND2]\ будут созданы 3 файла со случайными названиями:

• исполняемый файл;
• текстовый файл с зашифрованными данными №1;
• текстовый файл с зашифрованными данными №2.

Исполняемый файл выполняет дешифрование и запуск двух текстовых файлов в соответствии с рис.6.

Первый «текстовый» файл – это инжектор, который перезапускает собственный файл и при помощи техники «Process Hollowing» внедряет в него код полезной нагрузки из «текстового» файла №2. Участок кода, реализующий эту функциональность, представлен на рис. 7.

Перед выполнением нагрузка проверяет с помощью функции «AntiVM» (рис. 8), запущена ли она на виртуальной машине.

Если нагрузка не запущена на виртуальной машине, то, как упоминалось ранее, «текстовый» файл №2 будет расшифрован и внедрен в память процесса. Нагрузка была классифицирована как MetaStealer, использующий в качестве C2: tcp://193[.]124[.]92[.]156:25860/. Этот IP-адрес уже использовался в рассылках #1 и #2. Build ID образца: «421».

MetaStealer

MetaStealer впервые был выявлен в марте 2022 года. Он представляет собой форк известного стилера RedLine, предназначенного для кражи конфиденциальной информации с компьютера жертвы. Но в отличие от RedLine, MetaStealer может работать в странах СНГ в дополнение к обычным возможностям RedLine. Данный стилер продает на андегаундных форумах злоумышленник под псевдонимом «__META__». Стоит отметить, что этот стилер использовался множеством группировок, в частности ReaverBits, Sticky Werewolf, VasyGrek и, вероятно, другими. Описание стилера MetaStealer из объявления о продаже приведено на рис. 9.

Связь LuckyDownloader и LuckyBogdan

При анализе январской рассылки#4, специалисты F.A.C.C.T. выявили загрузчик, которому дали название LuckyDownloader. Во время атаки он загружал нагрузку с BitBucket репозитория в зашифрованном виде с адреса:

• hXXps://bitbucket.org/aliwudasdfasd/testt/raw/c5db5c5a41dc60ca48e98c4f2b6a0c6fa1229cec/makuff

На рис. 10 видно, что все изменения в репозиторий вносились одним аккаунтом с именем Богдан.

Также было обнаружено, что при компиляции образцов загрузчика разработчик не очищает PDB-пути, и два из известных образца загрузчика имеют одинаковое имя пользователя системы в своем PDB-пути. Примеры PDB-путей:

• C:\Users\удача\Desktop\SAXAL\Release\MyCrypto.pdb;
• C:\Users\удача\Desktop\ProjectStub\StubC++\Release\MyCrypto.pdb.

В ходе исследования других файлов, расположенных в этом репозитории, было установлено, что они имеют разные классификации и инфраструктуру, а атаки на основе этих инструментов имеют разные региональные цели и методы распространения.

На основании имеющихся данных был сформирован актор с именем LuckyBogdan, который, предположительно, занимается шифрованием полученного от клиента ВПО, размещает его в зашифрованном виде в BitBucket репозитории и предоставляет оператору загрузчик LuckyDownloader, который выполнит доставку, расшифровку и запуск ВПО на зараженной системе.

Заключение

Инфраструктура группы ReaverBits и связанные файловые индикаторы приведены в разделе индикаторы компрометации, а граф сетевой инфраструктуры — на рис. 11.

Резюмируя, отметим черты, характеризующие обнаруженную группу ReaverBits:

• известные на сегодняшний день атаки со стороны группы были направлены исключительно на российские организации;
• группа активно применяет спуфинг;
• злоумышленники используют MetaStealer в качестве нагрузки;
• в одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.

Индикаторы компрометации

Файловые индикаторы

skyey.ru_gift_10000.7z

• MD5: 362293abfbf3d03372e0238a8a32cbdf
• SHA-1: 8040d35cbe90b4ced5ff4b2677ea9aee6691e822
• SHA-256: 4dd2083783d5e61953a8e92ebbccb16eb9a5d7c46367d14e4d202faa52b3c1eb

skyey.ru_gift_10000.exe

• MD5: e19b344fa948e47b773010cd433f4556
• SHA-1: 24a88a8104f68409c5b9090b81bf447100e3b260
• SHA-256: eac32100aa4f4957ceb09c13b833a333ea07c79c182d07a93e3d0703a4135697

UAZ_Terms.zip

• MD5: 27e53e4d183d4e3ec2c3e885506535cc
• SHA-1: 1684c0ed1301b52bc46a3c9af90054aa5a50d4cd
• SHA-256: f7e42c10f2c9f41bc99c63e0c4852ed37a406566bd0ff44a600d56046975b709

GAZ_Terms_02.exe

• MD5: 5c0721250511a3c94aae900f633c7cae
• SHA-1: 07fbdd8549a421e49ee8bf8e88318667b2cc10d8
• SHA-256: 149233096f0e3cdb49bc0e6a45da50e54e9d2d9317fbee676cebc77f8de7e540

GAZ_Terms_01.zip

• MD5: 86d37a83e97c4c7f77a2728f24a1f2b7
• SHA-1: b7ac1f07b52ec8c458f4b33f8e3b63b25da3bb21
• SHA-256: 2854188a6a09243fc04daf86045148b950b808bfbb6a116c5f474a389154f2c6

GAZ_Terms_01.exe

• MD5: 0526fb32e78f918dd52134e197c21f54
• SHA-1: 5a757c08624c4eed73d2eac12b73daf940e0c0e0
• SHA-256: 15adb154e14f3368db25bce7e45b756391ad9982d2af0687f56cc9a99527cd98

pdf.exe

• MD5: 83b5f3aaeeb657f99fbf19170d0faad4
• SHA-1: 3e81fb9dccad889c9ea0731a72a02f69be80e878
• SHA-256: 40e6703c48c2f1d3e6d4c38538d3c4711e48b9dbb69706a4395f8c61b12f825e

russian_trusted_ca_ms.cer.rar

• MD5: d6614a8af0f59ed40d1590f215232143
• SHA-1: 242fb5d530c4da533bac43ef6d4e26af7e080adb
• SHA-256: f103f9db15ab6b52e5bf64dd7b13bf52f313797c3cd05ec13a261e51a893279e

russian_trusted_root_ca.cer.exe/ russian_trusted_sub_ca.cer.exe

• MD5: e1d7b2b67c26fb7a104d0141606fc70b
• SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee
• SHA-256: d5b475717d872b56324d03f51d37a182c1df479ae3dccb3a84e53fae7e17fa28
• MD5: b7c549b9691cdcf7cf438096cb9c1584
• SHA-1: 420f24b967783aedc816f83bddb2f71493a452f6
• SHA-256: e3bb4d91fc976059f906d22388bde5bf1f1005acdbe760cbb17e3b3233d8a160

начальникам.xlsx.zip

• MD5: 299a89660de88f33eb96be041c40be28
• SHA-1: b21befe7a4570ec907237bad953e6dee45031448
• SHA-256: 14a487418047de1976a1a9df8211f1646618c01e77c839ecc1dbaa4e5b857acd

начальникам.xlsx.exe

• MD5: 776a7eaca0c54ab145ae77d2d432db7a
• SHA-1: 25bddf07674c0c7cd08a89081597713d19fb1232
• SHA-256: 43da612218fc783ee9f0e6fe31f5644014a5e82820a84b320c836e593fe21dab

Undet.exe

• MD5: a496ef2f9bb758e16d388f81b24c18e3
• SHA-1: e807d24208f217684f92107b0af89486c57eee6b
• SHA-256: e81929a471026c7143561512583c9d0bb3a5a96d932f92961ee4d70b59d42424

Сетевые индикаторы

• hXXp://parts[.]uaz[.]ru/bitrix/tools/track_mail_click.php?tag=sender.eyJSRUNJUElFTlRfSUQiOiIyOTY4MiJ9&url=hXXps://parts[.]uaz[.]ru/upload/UAZ_Terms[.]zip**{REDACTED}**
• hXXps://parts.uaz.ru/upload/UAZ_Terms.zip
• hXXp://91.92.248[.]132/files/pdf.exe
• hXXps://neborecords.ru/upload/c/russian_trusted_ca_ms.cer.rar
• hXXps://bitbucket.org/aliwudasdfasd/testt/raw/c5db5c5a41dc60ca48e98c4f2b6a0c6fa1229cec/makuff
• hXXp://45.137.20.39/res.js
• 91.92.248[.]132
• 45.11.24[.]211
• 193.124.92[.]156
• 45.137.20[.]39

MITRE ATT&CK®