ReaverBits APT IOCs

security IOC
Опубликовано

В начале 2024 года экспертами F.A.C.C.T. была обнаружена группа злоумышленников под названием ReaverBits. Было установлено, что эта группа рассылает вредоносные электронные письма российским организациям, выдавая себя за различные компании и министерства. Название "ReaverBits" было дано на основании использования группой шпионского ПО MetaStealer для кражи данных и наличия в URL-адресах слов "bitbucket" и "bitrix".

ReaverBits APT

Всего ReaverBits осуществила пять рассылок, две из которых были зафиксированы в декабре 2023 года, две - в январе 2024 года, а последняя - в мае. Объектами атак стали российские компании из сферы розничной торговли, телекоммуникаций, перерабатывающая компания, агропромышленное объединение и федеральный фонд. К счастью, все эти рассылки были успешно заблокированы системой F.A.C.S.T., а управляемая XDR обеспечила оперативное оповещение клиентов F.A.C.C.T. с подробным техническим анализом угроз.

Первой рассылкой ReaverBits стало мошенническое письмо, отправленное 26 декабря 2023 года и утверждавшее, что получатель выиграл 10 000 рублей на сайте Skyey.ru. Письмо выглядело как письмо от интернет-магазина Skyey, но на самом деле было отправлено с другого адреса, "notify@ispsystem.com", а адрес отправителя был замаскирован под "info@skyey.ru". Письмо содержало архив под названием "skyey.ru_gift_10000.7z", в котором находился исполняемый файл под названием "skyey.ru_gift_10000.exe". Этот файл был идентифицирован как MetaStealer с C2-адресом 193[.]124[.]92[.]92[.]156:18910.

Вторая рассылка, отправленная 27 декабря 2023 года, оказалась от "no-reply@parts.uaz.ru", но адрес отправителя снова был подделан как "parts@uaz.ru". Письмо было адресовано агропромышленной ассоциации и предлагало скидку на запчасти для автомобилей УАЗ. Письмо содержало две одинаковые ссылки, которые перенаправляли жертву на вредоносный архив под названием "UAZ_Terms.zip". Этот архив содержал исполняемый файл под названием "GAZ_Terms_02.exe", который также был идентифицирован как MetaStealer и имел тот же C2-адрес, что и предыдущий образец.

Кроме того, был найден еще один архив под названием "GAZ_Terms_01.zip", который содержал исполняемый файл "GAZ_Terms_01.exe". Этот файл загружал MetaStealer с адреса hXXp://91.92.248.132/files/pdf.exe и имел тот же C2-адрес 193[.]124[.]92[.]156:18910. Схожесть методов и использование одного и того же адреса сервера управления указывают на то, что за эти рассылки отвечает один и тот же злоумышленник.

В январе 2024 года ReaverBits отправил два идентичных письма 12 и 25 января, снова маскируясь под "notify@ispsystem.com", но изменив адрес отправителя на "info@digital.gov.ru", чтобы сымитировать Министерство цифрового развития, связи и массовых коммуникаций РФ. В этих письмах содержались ссылки на скачивание архива или исполняемого файла. Целью этих писем была организация, работающая в сфере розничной торговли.

Очевидно, что ReaverBits - это постоянная и развивающаяся угроза, использующая такие тактики, как подмена адресов отправителей и использование MetaStealer для кражи конфиденциальной информации.

Indicators of Compromise

IPv4

  • 193.124.92.156
  • 45.11.24.211
  • 45.137.20.39
  • 91.92.248.132

IPv4 Port Combinations

  • 193.124.92.156:18910

URLs

  • http://45.137.20.39/res.js
  • http://91.92.248.132/files/pdf.exe
  • http://parts.uaz.ru/bitrix/tools/track_mail_click.php?tag=sender.eyJSRUNJUElFTlRfSUQiOiIyOTY4MiJ9&url=https://parts.uaz.ru/upload/UAZ_Terms.zip
  • https://bitbucket.org/aliwudasdfasd/testt/raw/c5db5c5a41dc60ca48e98c4f2b6a0c6fa1229cec/makuff
  • https://neborecords.ru/upload/c/russian_trusted_ca_ms.cer.rar
  • https://parts.uaz.ru/upload/UAZ_Terms.zip

MD5

  • 0526fb32e78f918dd52134e197c21f54
  • 27e53e4d183d4e3ec2c3e885506535cc
  • 299a89660de88f33eb96be041c40be28
  • 362293abfbf3d03372e0238a8a32cbdf
  • 5c0721250511a3c94aae900f633c7cae
  • 776a7eaca0c54ab145ae77d2d432db7a
  • 83b5f3aaeeb657f99fbf19170d0faad4
  • 86d37a83e97c4c7f77a2728f24a1f2b7
  • a496ef2f9bb758e16d388f81b24c18e3
  • b7c549b9691cdcf7cf438096cb9c1584
  • d6614a8af0f59ed40d1590f215232143
  • e19b344fa948e47b773010cd433f4556
  • e1d7b2b67c26fb7a104d0141606fc70b

SHA1

  • 07fbdd8549a421e49ee8bf8e88318667b2cc10d8
  • 1684c0ed1301b52bc46a3c9af90054aa5a50d4cd
  • 242fb5d530c4da533bac43ef6d4e26af7e080adb
  • 24a88a8104f68409c5b9090b81bf447100e3b260
  • 25bddf07674c0c7cd08a89081597713d19fb1232
  • 3e81fb9dccad889c9ea0731a72a02f69be80e878
  • 420f24b967783aedc816f83bddb2f71493a452f6
  • 5244539842ff4a2e58331aa6a825deb6246da8ee
  • 5a757c08624c4eed73d2eac12b73daf940e0c0e0
  • 8040d35cbe90b4ced5ff4b2677ea9aee6691e822
  • b21befe7a4570ec907237bad953e6dee45031448
  • b7ac1f07b52ec8c458f4b33f8e3b63b25da3bb21
  • e807d24208f217684f92107b0af89486c57eee6b

SHA256

  • 149233096f0e3cdb49bc0e6a45da50e54e9d2d9317fbee676cebc77f8de7e540
  • 14a487418047de1976a1a9df8211f1646618c01e77c839ecc1dbaa4e5b857acd
  • 15adb154e14f3368db25bce7e45b756391ad9982d2af0687f56cc9a99527cd98
  • 2854188a6a09243fc04daf86045148b950b808bfbb6a116c5f474a389154f2c6
  • 40e6703c48c2f1d3e6d4c38538d3c4711e48b9dbb69706a4395f8c61b12f825e
  • 43da612218fc783ee9f0e6fe31f5644014a5e82820a84b320c836e593fe21dab
  • 4dd2083783d5e61953a8e92ebbccb16eb9a5d7c46367d14e4d202faa52b3c1eb
  • d5b475717d872b56324d03f51d37a182c1df479ae3dccb3a84e53fae7e17fa28
  • e3bb4d91fc976059f906d22388bde5bf1f1005acdbe760cbb17e3b3233d8a160
  • e81929a471026c7143561512583c9d0bb3a5a96d932f92961ee4d70b59d42424
  • eac32100aa4f4957ceb09c13b833a333ea07c79c182d07a93e3d0703a4135697
  • f103f9db15ab6b52e5bf64dd7b13bf52f313797c3cd05ec13a261e51a893279e
  • f7e42c10f2c9f41bc99c63e0c4852ed37a406566bd0ff44a600d56046975b709
Похожие записи:
  1. Sticky Werewolf APT IOCs - Part 2
  2. RedCurl APT IOCs
  3. MetaStealer Malware IOCs - Part 5
  4. RedCurl APT IOCs - Part 2
  5. Core Werewolf APT IOCs - Part 2
APT F.A.C.C.T. MetaStealer ReaverBits
SEC-1275-1
Добавить комментарий