Кибергруппа Room155: как хакеры атакуют российские компании с помощью фишинга и вредоносного ПО

Группа Room155 впервые была описана специалистами Positive Technologies в 2025 году, однако их активность фиксировалась уже с мая 2023 года. Последние исследования, основанные на данных F6 MXDR, позволили расширить ретроспективу деятельности группы до декабря 2022 года, выявить новые инструменты, используемые хакерами, а также определить ключевые отрасли, которые они атакуют.

Тактика и инструменты

Room155 действует по классической схеме фишинга: рассылает письма с вредоносными архивами, содержащими документы-приманки и вредоносное ПО. В первых известных случаях злоумышленники использовали Revenge RAT и XWorm, но в дальнейшем их арсенал пополнился такими программами, как Stealerium, DarkTrack, DCRat, AveMaria RAT и VenomRAT.

Особенность группы - использование поддельных сертификатов X.509 и омоглифов (графически похожих символов) в названиях файлов и тем писем. Это усложняет обнаружение атак, так как пользователи могут не заметить подмену.

Кто в зоне риска?

Основная цель Room155 - финансовые организации (51% атак). Также под удар попадают транспортные компании (16%), ритейл (10%), промышленность и логистика (по 7%), строительство и ЖКХ (3%), медицина, туризм и IT (по 2%).

Как работает Room155?

Группа активно использует динамические DNS-домены, которые периодически меняются. В 2022-2023 годах они применяли домены mydnsftp.myftp.biz и tgt55w.ddns.net, позже перешли на rampage.myvnc.com, а с 2024 года начали использовать кластер kilimanjaro.* (например, kilimanjaro.cloudns.nz).

Вредоносные письма маскируются под официальные документы: уведомления о задолженности, договоры, акты сверок. Например, в феврале 2023 года злоумышленники рассылали письма от имени ФССП, а позднее стали использовать темы вроде «Акт сверки взаиморасчетов» или «Договор на подпись».

Примеры атак

• В январе 2023 года был зафиксирован первый известный образец LockBit 3.0 Black, атрибутированный Room155. Жертвам присылали архив с файлами «Информация должнику.exe» (шифровальщик) и «Образец жалобы в арбитражный суд.doc» (приманка).
• В феврале 2023 года группа рассылала Revenge RAT под видом налоговых уведомлений.
• Осенью 2023 года начали активно использовать XWorm, а в 2024-2025 годах добавили AveMaria RAT и VenomRAT.

Заключение

Room155 - это серьезная угроза, особенно для финансового сектора. Их тактика постоянно эволюционирует, но понимание их методов позволяет компаниям лучше защищаться. Ключевое правило кибербезопасности - оставаться на шаг впереди злоумышленников, и в этом помогает анализ их TTPs (тактик, техник и процедур). Чем больше данных о группе становится известно, тем сложнее ей оставаться в тени.

Domains

• 0228.ru
• amper-spb.ru
• arvitspb.ru
• bl-xp.ru
• bn-ki.ru
• bs-ku.ru
• burkinafaso.duckdns.org
• gdferrit.ru
• getfugo.ru
• host777.sytes.net
• it-loms.ru
• kilimanjaro.bigmoney.biz
• kilimanjaro.cloudns.nz
• kilimanjaro.crabdance.com
• kilimanjaro.dns.army
• kilimanjaro.hopto.org
• kilimanjaro.run.place
• kilimanjaro.theworkpc.com
• kn-beta.ru
• liderrus.ru
• master-22.ru
• mcseam.ru
• mos-prom-service.ru
• moviepolis.ru
• mydnsftp.myftp.biz
• myhost.misecure.com
• myhost.servepics.com
• neo77mos.ru
• onix126.ru
• orenhimtorg.ru
• pollymaniya.ru
• poshivodezdyopt.ru
• proresell.ru
• rampage.myvnc.com
• remonteck.ru
• respect-art.ru
• rsxs.ru
• saveye.ru
• sixfinger.ru
• skupka-spb-1.ru
• tgt55w.ddns.net
• tsheetbizgroup.ru
• tutuor-priz.ru
• urusovgroup.ru
• zeddgfd.ru

MD5

• 004d2e20927155de98e4a4cd4a271eea
• 0372cb4f806947727400d1937f3e8063
• 061f9f6b7fa035cb2cf2c5b437686b9e
• 08216bb97e4024d039885d86fb3fe768
• 0a7f8233dba3b62e1d36cba78adccf5f
• 0c03d5237e53facd034b810687726e41
• 0c8aae397ece83d40ebc0d3ebb285d59
• 0d5d3abe5a00a5147de76ec1c7c28b02
• 0e96188b34d328c8c6be56cfa0834b32
• 111707d8ac313aa3d2e257bbbf396452
• 14bc123a8209f7c21aacea4cd179fbec
• 1bc7efa9663c770cac61a55c20419763
• 1deb7d0b24bab69d57d44f4e444c5aad
• 1f44b48ff3382c46ca43e0466f77bb94
• 224ebe8420eee79b99d8eae13756670e
• 230eb41db9d26ee8da19af13c02d946a
• 2ff8daea615b5fede0b0b5219e618913
• 324a35e2364535bedc53b807ed379abd
• 36504945cb1d37a2c3f0670e264c8ca0
• 36efdf1c370747df8027125c15b81b0c
• 37a5b97e99c1d2c9bc5500c500c7c79b
• 386b79fbc92600f1b9b9a38888aaf801
• 389390bf696737deedaaf10a90d407d1
• 3a46f84f57f9da198a8cafa9470cb693
• 426f43b04a489b244ba025a63866fe4d
• 437dbf5c3d3058231093d74e68d8eb82
• 47742caa2dd028f87a61c7095d1917da
• 47d445c17658c27c58df43ab0f2500c1
• 480a10c530427a583207b22e7483faaa
• 49f2512ac27775758e20e4b0f2b8425c
• 4a8a2d25f6bd10ee1895aa4040d60d25
• 4b00ffc9e16eee4009e37ee219d5da2e
• 4b053abf7ef36bbeff8afc149139b104
• 4c5067b01964412c3c17473894314704
• 4ff4a02e703c272815f6204037636876
• 56f58a85a3f0012aa0da61b371c07de6
• 57dfd3385b33177edac3bec5c26c626e
• 5d59eb5b0a1158db44854acb20b1d9b2
• 622610ff2580908cc254af37982049af
• 624acf32bfbfbbc5945b64f8113d40f3
• 67b967e4eb8c34fe48b4c4facef16776
• 69090148e89182e8f392ab21f7b35d87
• 69c3995f3e2534efaa88c71b18359b70
• 6a851b7e10b8a5b6772ba6f75fdd575d
• 6ac8cbd3e474ac59c5f10a88dfc19267
• 6b7d49f13396066b2c58840aeae27c10
• 6d5b7404fb4d1642e8178042a71d863e
• 6d96fc1bc140deceae309109f6a90dcc
• 70d717a07a6df0db8fa222a5719c1ccd
• 72608ab27099a2c5aa87c6e3ed49df89
• 73bd4710de18c1f44332055aabaf5554
• 75568326a8310f5929e78cfbcf62f637
• 78d3152616dedb9801ce61015324ae8a
• 7e1e669b33e8d8eeecac16e7ce8e9a9d
• 7edec7dad7977dc6f1a34b1ff75004de
• 8216c6dfd7f81fc011aff73384189e93
• 82ecfe6e638958645015a160ad52bbe5
• 8363add8daa0ff08dc110d1b95a7ce9d
• 83caa65afe19715794d05b79795324c9
• 840801dafd623e9b283aeceabb4dd5bd
• 8517e1a765272dfd39e93472723bb838
• 8a3436554bae0050c046bab9c9bdc074
• 8ae2daf77349acf7a02ee625b145c66e
• 8d0c0813610ab39eacb983c6b019d344
• 8f08915a779fc897900be01eaa970336
• 991266388469c81b4b146e566e6d32aa
• 9b7879b4d4eaf9961ac4f3b43521d367
• 9bebf6c1615cc230308ded6279949318
• 9ccdb005bd5e80f4a97d0f418afc75f8
• 9d270c40d2376950525b2b85b35f3911
• 9eb71ab9e90369da78a512de071c0cfb
• 9f06908471c2eb89ee81fb7c11278ef0
• a213bc9bc768cdfbe0b6a9b5bca1eaa5
• a2bd3c567dde86e5876190c9089c2902
• a3652cebc8ae0ec570972a598ec133bc
• a3976b3c6376c37f94a4d87af90189fb
• a437a717ab6e26f5b6b848a5a24e043d
• a6518e6d370406a1c9f60afcd704b084
• a6a4d03b61936f6d7789b6b74b5902d1
• a7241abe1d1908e1384bccc22e212e0d
• a7a90386013a8a7b1eb1d1dc95ed0f6a
• ab01f085916506cd7118f86c7b4951a4
• ac426123b59715e698ac8ef9634b173d
• ad467dd17b66723e92c69e2959bef475
• af67118c5ff90dee0ae179391d117b52
• b0c75c8318f838a6157bc2e0287654dd
• b119c57a54d03db58a17267b623830e5
• b3b9e45863ab80de64493284d658fe90
• b65029a7f009b73bbc26e0c607229f81
• ba4383d3b65713d0c73d207b83604438
• bdf2913ab8412e9bc4d307b54de6fc60
• befacf17753fbb9bc03101b0af02dbf9
• c0866b81ba733f37ae9ebe95d929146e
• c421f736d39924daa177a4c8d72c315f
• c61ff165e5b0eaafd0d02c6bf5cc7a34
• c7857e48c24bea9ed00d6270ae3dc4a5
• c954c383b723277d2e30618abc1bff5d
• c9ad8f950e975cecfc2e85b79326b4f4
• cb4214baafc421dab87cc64513cca45d
• cb4db2c54bff1301bb0157911cf55937
• ccbe6b85ade50d51ea4a65f2c675860d
• cd4a7eb424ec03389e3750ce8e6aac4f
• cd7417dbef73abe7b90ee0e0f42d8315
• d193670e7ccc229ce1bebbbb946ad5d0
• d1b1aaaa2072c95dfe681b5c4426996c
• d3106dc883cde0c9e80964f324cfd4fb
• d52169d0b16239282dc4d860158c8624
• d6fca250ec63a8ce79cef6d1f3c779ce
• d7433fa375961d463d796294adc77361
• dc9474121cb6a50b67c515e90467efe8
• deaafc6addfc7c4645c576061f7c7594
• e0a9920aff38a564e76b10cf48540f20
• e475b4df3462815ef3e236e9cd58455c
• e4b3fe40e316223441b06f8e7a605006
• e620a93279ab81ab0bd22f22f6625ff6
• ea88132defc837188b974d09f3391dc7
• efa73efca375de1b486997864d16e5f3
• f0dac46afe6b40cc0450cd898eecaaed
• f1e73cfc0f1a405bd0acdbcc3c709176
• f7476d98bea0e3acb5a572b506394f41
• f7d002b6c231dc8f666dcca6173ed20e
• f994f27f4f43c19c0d5f95aac2eb1523
• f9a67d8b903d4c3b27b55d1bfdd5c70c
• fc1c23ab7a8479c3c60c8d54f0ce0a7d
• fcf3ae9ac375e3355556fbab19d1db34

SHA256

• 4866772541b5ab893dca6905ee069b119b58778daa45fb673b7361d7b27458d2
• d5e9a7fb2f387155994b783e4650277c8f84c6865027ac06d8b2ca6050742139