Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, предупреждает о новых угрозах, которые подготовила известная атаками на российские высокотехнологичные компании группа ReaverBits. В январе 2025 года эксперты департамента киберразведки обнаружили фишинговые письма, которые злоумышленники рассылали от имени МВД России с темой «СК РФ Вызов на допрос». В ходе поисков и исследования файлов, связанных с этой атакой, аналитики F6 обнаружили ранее неизвестный бэкдор, который получил название ReaverDoor.
Специалисты департамента киберразведки (Threat Intelligence) компании F6 продолжают отслеживать активность группы ReaverBits и разобрали цепочки заражения, которые применяют злоумышленниками.
ReaverBits (от слов «reaver» – «вор», и «bits» – сокращение от Bitbucket, сервиса совместной разработки проектов, используемого атакующими) – группа киберпреступников, которая действует с конца 2023 года. Специализируется на атаках на российские компании в таких ключевых областях, как биотехнологии, розничная торговля, агропромышленный комплекс, телекоммуникации и финансовый сектор.
Отличительные особенности этой группировки – целенаправленные атаки исключительно на российские организации, активное использование методов спуфинга при проведении фишинговых атак, а также применение вредоносного ПО класса «стилер» в качестве основной полезной нагрузки.
С сентября 2024-го по январь 2025 года специалисты Threat Intelligence компании F6 зафиксировали три разные цепочки заражения, в которых использовались обновленные инструменты. Среди них как публично продающийся Meduza Stealer, так и нехарактерное для группы уникальное вредоносное ПО — ReaverDoor. Злоумышленники распространяют вредоносное программное обеспечение под видом легитимных цифровых сертификатов и обновлений.
Так, в сентябре 2024 года исследователи фиксировали рассылки фишинговых электронных писем, направляемых от имени Следственного комитета Российской Федерации. Через поддельные письма злоумышленники из ReaverBits распространяли Meduza Stealer. Письма с темой «СК РФ Вызов на допрос» содержали вредоносное вложение в виде PDF-документа, после запуска которого жертве отображалось уведомление о необходимости обновления Adobe Font Package, и ссылку для его загрузки.
В январе 2025 года специалисты F6 обнаружили электронное письмо, отправленное от имени Министерства внутренних дел Российской Федерации с аналогичной темой «СК РФ Вызов на допрос». Внутри письма содержалась ссылка якобы для скачивания документа. Когда жертва переходила по ссылке, сервер проверял язык браузера. В случае использования русского языка жертва перенаправлялась по ссылке и скачивался файл «Повестка». В этой атаке также использовался Meduza Stealer.
Продолжив поиски и исследование файлов, связанных с этой атакой, аналитики Threat Intelligence компании F6 обнаружили ранее неописанный бэкдор, который получил название ReaverDoor.
Как отмечают специалисты F6, атаки ReaverBits по-прежнему нацелены исключительно на российские организации, а эволюция инструментов может свидетельствовать о подготовке к более масштабным атакам. Применяемые методы значительно повышают уровень скрытности группировки, что затрудняет её обнаружение и анализ. Это свидетельствует о стремлении группировки к долгосрочному присутствию в сетях российских организаций, а также о постоянном совершенствовании ее инструментов и техник обхода средств киберзащиты.
