ReaverBits APT IOCs

В начале 2024 года экспертами F.A.C.C.T. была обнаружена группа злоумышленников под названием ReaverBits. Было установлено, что эта группа рассылает вредоносные электронные письма российским организациям, выдавая себя за различные компании и министерства. Название "ReaverBits" было дано на основании использования группой шпионского ПО MetaStealer для кражи данных и наличия в URL-адресах слов "bitbucket" и "bitrix".

ReaverBits APT

Всего ReaverBits осуществила пять рассылок, две из которых были зафиксированы в декабре 2023 года, две - в январе 2024 года, а последняя - в мае. Объектами атак стали российские компании из сферы розничной торговли, телекоммуникаций, перерабатывающая компания, агропромышленное объединение и федеральный фонд. К счастью, все эти рассылки были успешно заблокированы системой F.A.C.S.T., а управляемая XDR обеспечила оперативное оповещение клиентов F.A.C.C.T. с подробным техническим анализом угроз.

Первой рассылкой ReaverBits стало мошенническое письмо, отправленное 26 декабря 2023 года и утверждавшее, что получатель выиграл 10 000 рублей на сайте Skyey.ru. Письмо выглядело как письмо от интернет-магазина Skyey, но на самом деле было отправлено с другого адреса, "[email protected]", а адрес отправителя был замаскирован под "[email protected]". Письмо содержало архив под названием "skyey.ru_gift_10000.7z", в котором находился исполняемый файл под названием "skyey.ru_gift_10000.exe". Этот файл был идентифицирован как MetaStealer с C2-адресом 193[.]124[.]92[.]92[.]156:18910.

Вторая рассылка, отправленная 27 декабря 2023 года, оказалась от "[email protected]", но адрес отправителя снова был подделан как "[email protected]". Письмо было адресовано агропромышленной ассоциации и предлагало скидку на запчасти для автомобилей УАЗ. Письмо содержало две одинаковые ссылки, которые перенаправляли жертву на вредоносный архив под названием "UAZ_Terms.zip". Этот архив содержал исполняемый файл под названием "GAZ_Terms_02.exe", который также был идентифицирован как MetaStealer и имел тот же C2-адрес, что и предыдущий образец.

Кроме того, был найден еще один архив под названием "GAZ_Terms_01.zip", который содержал исполняемый файл "GAZ_Terms_01.exe". Этот файл загружал MetaStealer с адреса hXXp://91.92.248.132/files/pdf.exe и имел тот же C2-адрес 193[.]124[.]92[.]156:18910. Схожесть методов и использование одного и того же адреса сервера управления указывают на то, что за эти рассылки отвечает один и тот же злоумышленник.

В январе 2024 года ReaverBits отправил два идентичных письма 12 и 25 января, снова маскируясь под "[email protected]", но изменив адрес отправителя на "[email protected]", чтобы сымитировать Министерство цифрового развития, связи и массовых коммуникаций РФ. В этих письмах содержались ссылки на скачивание архива или исполняемого файла. Целью этих писем была организация, работающая в сфере розничной торговли.

Очевидно, что ReaverBits - это постоянная и развивающаяся угроза, использующая такие тактики, как подмена адресов отправителей и использование MetaStealer для кражи конфиденциальной информации.

Indicators of Compromise

IPv4

• 193.124.92.156
• 45.11.24.211
• 45.137.20.39
• 91.92.248.132

IPv4 Port Combinations

• 193.124.92.156:18910

URLs

• http://45.137.20.39/res.js
• http://91.92.248.132/files/pdf.exe
• http://parts.uaz.ru/bitrix/tools/track_mail_click.php?tag=sender.eyJSRUNJUElFTlRfSUQiOiIyOTY4MiJ9&url=https://parts.uaz.ru/upload/UAZ_Terms.zip
• https://bitbucket.org/aliwudasdfasd/testt/raw/c5db5c5a41dc60ca48e98c4f2b6a0c6fa1229cec/makuff
• https://neborecords.ru/upload/c/russian_trusted_ca_ms.cer.rar
• https://parts.uaz.ru/upload/UAZ_Terms.zip

MD5

• 0526fb32e78f918dd52134e197c21f54
• 27e53e4d183d4e3ec2c3e885506535cc
• 299a89660de88f33eb96be041c40be28
• 362293abfbf3d03372e0238a8a32cbdf
• 5c0721250511a3c94aae900f633c7cae
• 776a7eaca0c54ab145ae77d2d432db7a
• 83b5f3aaeeb657f99fbf19170d0faad4
• 86d37a83e97c4c7f77a2728f24a1f2b7
• a496ef2f9bb758e16d388f81b24c18e3
• b7c549b9691cdcf7cf438096cb9c1584
• d6614a8af0f59ed40d1590f215232143
• e19b344fa948e47b773010cd433f4556
• e1d7b2b67c26fb7a104d0141606fc70b

SHA1

• 07fbdd8549a421e49ee8bf8e88318667b2cc10d8
• 1684c0ed1301b52bc46a3c9af90054aa5a50d4cd
• 242fb5d530c4da533bac43ef6d4e26af7e080adb
• 24a88a8104f68409c5b9090b81bf447100e3b260
• 25bddf07674c0c7cd08a89081597713d19fb1232
• 3e81fb9dccad889c9ea0731a72a02f69be80e878
• 420f24b967783aedc816f83bddb2f71493a452f6
• 5244539842ff4a2e58331aa6a825deb6246da8ee
• 5a757c08624c4eed73d2eac12b73daf940e0c0e0
• 8040d35cbe90b4ced5ff4b2677ea9aee6691e822
• b21befe7a4570ec907237bad953e6dee45031448
• b7ac1f07b52ec8c458f4b33f8e3b63b25da3bb21
• e807d24208f217684f92107b0af89486c57eee6b

SHA256

• 149233096f0e3cdb49bc0e6a45da50e54e9d2d9317fbee676cebc77f8de7e540
• 14a487418047de1976a1a9df8211f1646618c01e77c839ecc1dbaa4e5b857acd
• 15adb154e14f3368db25bce7e45b756391ad9982d2af0687f56cc9a99527cd98
• 2854188a6a09243fc04daf86045148b950b808bfbb6a116c5f474a389154f2c6
• 40e6703c48c2f1d3e6d4c38538d3c4711e48b9dbb69706a4395f8c61b12f825e
• 43da612218fc783ee9f0e6fe31f5644014a5e82820a84b320c836e593fe21dab
• 4dd2083783d5e61953a8e92ebbccb16eb9a5d7c46367d14e4d202faa52b3c1eb
• d5b475717d872b56324d03f51d37a182c1df479ae3dccb3a84e53fae7e17fa28
• e3bb4d91fc976059f906d22388bde5bf1f1005acdbe760cbb17e3b3233d8a160
• e81929a471026c7143561512583c9d0bb3a5a96d932f92961ee4d70b59d42424
• eac32100aa4f4957ceb09c13b833a333ea07c79c182d07a93e3d0703a4135697
• f103f9db15ab6b52e5bf64dd7b13bf52f313797c3cd05ec13a261e51a893279e
• f7e42c10f2c9f41bc99c63e0c4852ed37a406566bd0ff44a600d56046975b709