Новый фреймворк Ravage: хакеры начали использовать открытый пентест-инструмент для атак на российские вузы и энергетику

information security

В январе 2026 года исследователи зафиксировали первую волну атак с использованием фреймворка Ravage, который появился на GitHub всего несколькими месяцами ранее. Инструмент позиционировался как средство для тестирования на проникновение, однако злоумышленники быстро перепрофилировали его под свои задачи. Атаки нацелены в первую очередь на российские образовательные учреждения, готовящие специалистов для морской и речной отрасли, а также на объекты энергетики, финансовые компании и дипломатические службы.

Описание

Кампания оказалась частью долгосрочной деятельности ранее неизвестной хакерской группы, которая действует с лета 2024 года, но тщательно маскирует свои следы. Аналитики обнаружили более двух десятков атак, совершённых злоумышленниками за последние два года, причём активность группы отличается крайней нерегулярностью. Хакеры могут исчезать на три-четыре месяца, а затем провести до десяти атак за один месяц. Такая тактика серьёзно затрудняет их выявление и блокировку.

По данным расследования, более половины всех атак за последний год пришлось на учебные заведения. Около восьмидесяти процентов из них специализируются на подготовке кадров для водного транспорта и рыбохозяйственной отрасли. Среди других жертв - энергетические компании, дипломатические миссии, органы государственной власти и финансовые организации. Интересно, что для атак на финансистов злоумышленники использовали файлы с англоязычными названиями, имитирующими названия зарубежных контрагентов. Это говорит о том, что рассылка могла быть адресной и учитывать деловые связи конкретных организаций.

Ключевой особенностью группы стало активное применение открытого инструмента Ravage. На GitHub он описан как "мощный и гибкий C2-фреймворк", то есть инфраструктура для управления удалёнными системами. Однако на практике его возможности ближе к функциям типового средства удалённого доступа (Remote Access Tool). Ravage умеет выгружать, скачивать, копировать и удалять файлы, запускать процессы и выполнять произвольные PowerShell-скрипты, получаемые с управляющего сервера. Инструмент позволяет делать снимки экрана и выполнять команды на других компьютерах в локальной сети через протоколы SMB или WMI. При этом он не способен извлекать из системы тикеты аутентификации, токены доступа, сохранённые пароли или создавать скрытые каналы управления внутри скомпрометированной сети. Таким образом, Ravage - это сравнительно простой, но функциональный инструмент, который злоумышленники дополняют более сложными загрузчиками и программами-бэкдорами.

Типовая схема заражения в 2026 году начиналась с фишингового письма. В письме содержался ZIP-архив с файлом, имеющим расширение XLL. Этот тип файла представляет собой надстройку для Microsoft Excel, визуально неотличимую от легитимного документа благодаря знакомому логотипу Excel. При двойном клике файл запускал приложение Excel, которое загружало в свой процесс исполняемую DLL-библиотеку, написанную на C#. Эта библиотека - простейший загрузчик, который скачивал по двум вшитым в него URL два исполняемых файла. Адреса вели на взломанный сайт venera-gimadieva[.]com, где предварительно были размещены вредоносные файлы.

По первому адресу скачивался файл putty.exe. На самом деле это был не клиент PuTTY, а самораспаковывающийся CAB-архив, сформированный таким образом, чтобы его содержимое напоминало безобидную программу. Внутри архива находились интерпретатор AutoIt, скрипт для него и пакетный файл. Скрипт AutoIt, объёмом около полутора мегабайт, содержал зашифрованный исполняемый файл. Расшифровав его, скрипт внедрял полезную нагрузку в процесс RegAsm.exe. Этой нагрузкой оказывался бэкдор PureRAT. PureRAT - это программа-шпион класса RAT (Remote Access Trojan - троян удалённого доступа), которая позволяла злоумышленникам управлять заражённым компьютером, похищать данные и развёртывать дополнительное вредоносное ПО.

По второму адресу скачивалась утилита ps.exe. Она перекодировала пакетный скрипт в исполняемый файл. Во время выполнения эта утилита создавала на диске жертвы batch-файл и PowerShell-скрипт. Batch-файл запускал PowerShell-скрипт, который и являлся загрузчиком фреймворка Ravage. Ravage подключался к своему управляющему серверу и загружал дополнительные команды.

Исследователи отмечают, что группа действует уже почти два года. Летом 2024 года хакеры использовали аналогичные XLL-файлы, но тогда в качестве хостинга применялся репозиторий Bitbucket. В тех атаках фигурировал и другой известный пентест-инструмент - Cobalt Strike. Его доставляли через ZIP-архив с инсталлятором NSIS, который извлекал и запускал тот же скрипт на AutoIt с зашифрованной внутри нагрузкой Cobalt Strike. В другой атаке того же периода применялся LNK-файл, который подключал сетевой диск к удалённому серверу и запускал оттуда putty.exe, также оказавшийся инсталлятором NSIS с Cobalt Strike. Таким образом, злоумышленники последовательно совершенствуют методы доставки, но сохраняют общие элементы - использование XLL-файлов, AutoIt-дропперов и подмену имени файла связкой putty.

Важно, что во всех эпизодах, начиная с сентября 2024 года, в коде загрузчика присутствовали методы с именами PUTTY, LaunchPUTTY, StartPUTTY. Это устойчивый индикатор, который позволяет связать атаки разных лет в одну кампанию. Дополнительные объединяющие признаки - одинаковый адрес электронной почты при создании репозитория в Bitbucket (в атаках 2024 года) и совпадающий домен venera-gimadieva[.]com в 2025 и 2026 годах.

Активность группы демонстрирует, что злоумышленники тщательно планируют атаки и используют только проверенные, хорошо маскируемые инструменты. Их стратегия - редкие, но массовые атаки после долгих пауз, что затрудняет профилирование и реакцию со стороны систем защиты. Выбор целей также не случаен: учебные заведения морского профиля, дипломатические службы и объекты энергетики представляют как интерес с точки зрения разведки, так и уязвимость по отношению к фишингу, так как сотрудники таких организаций нередко становятся получателями подозрительных писем. Финансовые компании атакуются адресно, с использованием поддельных названий зарубежных фирм, что свидетельствует о предварительном сборе информации о контрагентах жертвы.

Фреймворк Ravage, будучи открытым и не требующим сложной настройки, значительно снизил порог входа для хакеров, которые ранее могли полагаться только на аренду готового вредоносного ПО. Сейчас группа комбинирует собственные загрузчики и PureRAT с Ravage, что делает их атаки более гибкими и менее предсказуемыми. Специалистам по информационной безопасности следует обращать внимание на фишинговые вложения с расширением XLL, особенно если в названии фигурирует кириллица или названия иностранных компаний, и внедрять политики, запрещающие выполнение XLL-надстроек из непроверенных источников. Дополнительной мерой защиты может стать мониторинг подозрительных DLL-загрузок из процессов Excel и анализ сетевых соединений к неизвестным URL, а также блокировка доменов, связанных с вредительской активностью - venera-gimadieva[.]com и похожих.

Хакерская группа продолжает действовать, и можно ожидать, что в ближайшие месяцы появятся новые версии загрузчиков и инструментов, основанных на Ravage. Организациям из целевых отраслей стоит провести ревизию средств фильтрации электронной почты и усилить осведомлённость сотрудников о методах социальной инженерии.

Индикаторы компрометации

IPv4

  • 45.14.245.145
  • 64.20.56.185
  • 77.91.123.17

Domains

  • fender-shop.online
  • host-update.online
  • system-update-cloud.store
  • system-update-cloud.xyz

URLs

  • https://bitbucket.org/cloud-soft-update/system/downloads/2024.xlsx
  • https://bitbucket.org/cloud-soft-update/system/downloads/crypted.exe
  • https://bitbucket.org/dickroot/root1/downloads/qwe.xlsx
  • https://bitbucket.org/dickroot/root1/downloads/wq.zip
  • https://bitbucket.org/linktodevice/system/downloads/2024.xlsx
  • https://bitbucket.org/linktodevice/system/downloads/met.exe
  • https://bitbucket.org/linktodevice/system/downloads/putty.exe
  • https://sys-update.space/update/ps.exe
  • https://sys-update.space/update/puty.exe
  • https://venera-gimadieva.com/ovp/MacMathematical.exe
  • https://venera-gimadieva.com/update/2025.xlsx
  • https://venera-gimadieva.com/update/ps.exe
  • https://venera-gimadieva.com/update/putty.exe
  • https://venera-gimadieva.com/vpo/OgEnrolled.exe

MD5

  • 030fe4d168b3e183c14f767ad92e3bb3
  • 037d5e11858ac713f960b6c1844ab1f8
  • 0a08a49cdb4e0744fed45ebeca12be59
  • 2085fed60e06f05a63704994c3ff06a0
  • 2616e71de3d8640a397f69a880e71466
  • 2c968fc3599850bbc3bc8f5f89c4123f
  • 2ccd6098e573c19cb499fa0fc44c9986
  • 39fa33189f98d1c34ce4a610fafe4f8d
  • 3b1b74daf04b6a50d488f67895f7a900
  • 3f9a789561c35a4c8e6d2e1da19463b9
  • 46eafccb15d5dc35ce311bd5588dfae5
  • 7c986070ad8a80457a94bf9f82a423b8
  • 8b842c9c7985340bae70b0a75f994e95
  • 8fdff3870b84533e0c59bcccd3cec9a5
  • 9acdaea04384f688ef05c5a4df3ed663
  • a23837debdc8f0e9fce308bff036f18f
  • a344c1a11397f9271cd364e913791e9f
  • b786e3f735c06a37f86238d1ae1eba7c
  • e338483286e6fca0aaf17bc2f012dc1a
  • edd1868ce809a69e14e548df9c04b426
  • f6ae71990bd322c259ab6ca9a71eabf7

Комментарии: 0