Главная страница » IOC
0
13 дней
IOC

ReaverBits APT IOCs - Part 2

security

ReaverBits - это киберпреступная группировка, которая в основном атакует российские компании в различных отраслях, таких как биотехнологии, розничная торговля, агробизнес, телекоммуникации и финансы. Они активны с 2023 года и обычно используют фишинговые атаки с применением методов спуфинга и вредоносного ПО класса «стайлер». Однако в период с сентября 2024 года по январь 2025 года специалисты F6 Threat Intelligence обнаружили три новых метода атак, используемых ReaverBits.

ReaverBits APT

Одна из атак, совершенная в сентябре 2024 года, включала в себя рассылку фишинговых писем с поддельного адреса от имени Следственного комитета Российской Федерации. Письма содержали вредоносный PDF-документ со ссылкой на загрузку обновления для Adobe Font Package. При переходе по ссылке загружался исполняемый файл, имитирующий легитимное обновление. Анализ файла показал, что это был загрузчик, который расшифровывал URL-ссылку, загружал библиотеку .NET и запускал основную полезную нагрузку - инжектор, который расшифровывал и запускал вредоносное ПО с помощью техники вскрытия процесса. Расшифрованный исполняемый файл был идентифицирован как Meduza Stealer. Цель этой атаки - сбор конфиденциальных данных жертв.

В ходе расследования специалисты F6 Threat Intelligence также обнаружили дополнительные загрузки с различных URL-адресов, что указывает на использование группой различных частей вредоносного ПО. Командно-контрольный сервер группы был идентифицирован как имеющий определенный IP-адрес и номер порта. Сборки исполняемого вредоносного ПО получили имя «Mou2024».

Таким образом, ReaverBits - киберпреступная группировка, известная своими атаками на российские компании в различных отраслях. Недавно они применили новые методы атак, включая фишинговые письма и использование Meduza Stealer и вредоносного ПО ReaverDoor. Эти атаки были направлены на сбор конфиденциальных данных и осуществлялись с помощью загрузчиков, инжекторов и методов вскрытия процессов. Был обнаружен командно-контрольный сервер группы, а также другие загрузчики с различных URL-адресов. Деятельность ReaverBits представляет значительную угрозу для организаций, на которые направлена атака, и подчеркивает необходимость постоянного мониторинга и принятия проактивных мер кибербезопасности.

Indicators of Compromise

IPv4 Port Combinations

  • 45.136.196.76:15666
  • 5.42.73.251:15666

URLs

  • http://62.197.48.140/res.js?id=1
  • http://62.197.48.140/res.js?id=2
  • http://62.197.48.140/tlog/logr.php
  • http://62.197.48.140/v2/build/4/lib/examplep3msw
  • https://alarti.ru/mobile_app/rss.php?[0-9a-z]{128}=&_subid={subid}&_token={token}
  • https://openmailertrack.com/pc43K9?email_from={source_email}&email_to={target_email}&email_title=[title]

MD5

  • 09d9d66ac01785feed5e0d596b0c1c59
  • 1b5019559588abf35530a603170190ae
  • 4aa458efd17b1efc58a77738d52b6299
  • 701ceab930af44a4d9488f9f7350eb7a
  • 7b7e713253e16aabfd987214025541b2
  • 90fefea54a7d4b4bd7aae9b13fa5b9fc
  • b9151437dc63bbb9c30f266a05f43d1d
  • c02cd38b87afbc05368b0d254f7654c7
  • cd23d84f508df90c0ce088a814674862
  • d9ca1da19b33f562290b8727d90b05b8
  • f099b576103e84aab845abb822c1c166

SHA1

  • 1fd681324ca48c9a8be2df3702ab883010a23323
  • 3e2900e23c8324e6dbf98fd2febc5224d3ccccb7
  • 41f8077d52b6d221261d18e40ec415889f5c82a3
  • 5c8bea52016b1f51cf19a97acb02f19d0eac289d
  • 5f69cb0645310674086e5c034b3bfde4ba981d76
  • 681d98a1a3ec373475a0a05a277339e54a880f85
  • 6bd6c96f216168c58a26a142298a50d2fb3dd33e
  • 6c69e4de6bc3286e04c97edb81298194e4f5cc29
  • 9ea6789741496e7a203d8f7274704726b2488eae
  • a425fff68d583f8645f42af7e50755fa38506ed3
  • cc0412d9b7402cf6f7e254755af3a6af2304ba5c

SHA256

  • 11e036461b9dfa27fda024e77cd993a2052211c87a01ef4957515fc4ae71dac2
  • 1c0916151fecb515237bb36bc533db16449990cdcc37c3c5e801b76977d1df8e
  • 5a9a05d8b295d6c1ac506532cdbf631ad538a8e33e0d4bc9bc486851ff00cb10
  • 850a577ac47759faabdda4bcf39876cfcfd2ec4ec549402e1cb22b3c2f47e4b3
  • 87e958acaff20e8cbcbf7febbf216f327ac5a8d816eafdc0f16ceee39bc2a0a4
  • 88b5797f60912b551a7b7e90c73e16adb4cecbb21e812857819d14b50b40e92a
  • 94f7c56f0c6b2487fac7b51bc5e3d00525b8b3347c88b85643c596a5c225278b
  • a6cdfba0c7cdeb09ec0cb07907a1d85040938df924b3f937f4d5e8c503b4d77d
  • c8a9b64552498453d15fddfa92f550b178ebb4db14d7335052c1b95e681810a8
  • d40224818c5740d0dbf5990d7d457ba64f32e5fe573da74ce6c970210f4eacca
  • dd9fa916c5f14c66b2e83243808072d2b084828167f9f2029366c91023c49532
Комментарии: 0
Похожие записи
0
15 часов
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
16 часов
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает