Как выявить вредоносы таких классов, рассказала аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.
ReaverBits известны изощрёнными методами социальной инженерии, спуфингом и фишинговыми кампаниями, направленными на сотрудников организаций российского сектора. Вредоносное ПО (ВПО) распространяется под видом официальных документов государственных ведомств и легитимного программного обеспечения. За последние полгода зафиксировано 3 уникальных цепочки заражения жертв группировки.
В январе 2025 года ReaverBits осуществила рассылку писем от имени МВД России. В сообщениях содержалась ссылка на якобы официальный документ, однако при переходе жертва загружала заражённый исполняемый файл «Повестка». После загрузки вредоноса осуществлялась проверка языка, установленного в браузере жертвы: если в настройках браузера установлен русский язык, происходило перенаправление на вредоносный ресурс, в противном случае пользователь попадал на официальный сайт МВД. В файле находился загрузчик, основанный на легитимном инструменте NBTExplorer, который скачивал и запускал Meduza Stealer.
Вредоносные загрузчики основаны на легитимных open-source-проектах, в которые внедрён вредоносный код. Они загружают файлы с удалённых серверов, а их URI-адреса имеют унифицированное обозначение res.js. Вредоносные файлы шифруются по сложной схеме, включающей множественное шифрование по алгоритмам AES-256, PBKDF2 и Base64, что значительно усложняет их реверс-анализ и последующее обнаружение известных сигнатур антивирусными системами.
«Детектирование сложного ВПО — это нетривиальная задача, которую требуется решать с помощью продвинутых средств анализа сетевого трафика (NTA) и настройки правил блокировки поступающего контента на безопасных почтовых шлюзах (SEG). Для грамотной настройки средств защиты необходимы актуальные сведения о трендах в даркнете, основанные на проактивной разведке угроз (Threat Intelligence & Threat Hunting). В соответствии с внутренними регламентами эксперты GSOC компании «Газинформсервис» анализируют и собирают новые индикаторы злонамеренной активности из внешних источников по всей «Пирамиде боли» злоумышленника. Далее эти сведения задействуются в детективных и превентивных механизмах защиты инфраструктуры. Напоминаю, что «точкой» входа для такого ВПО являются пользователи. Важность курсов по антифишингу играет значительную роль в безопасности компании», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.
*F6 — разработчик технологий для борьбы с киберпреступностью, предотвращения и расследования киберпреступлений в России и за рубежом. Читайте также Ильдар Шербанов: «ИИ не заменит человека, но сократит R&D в несколько раз» Как цифровизация меняет фармацевтическое производство, почему переход на ERP — процесс «от года и до бесконечности» и с какими вызовами сталкиваются ИТ-специалисты в фарме? В интервью журналу IT Manager Ильдар Шербанов, ИТ-директор компании «Эллара», рассказал о роли BI и видеоаналитики на производстве, перспективах ИИ в разработке лекарств и о том, как найти баланс между безопасностью, автоматизацией и жесткой регуляторикой.
Источник: www.it-world.ru
Похожие новости:
Positive Technologies сообщила о 10 популярных техник атак, используемых вредоносным ПО в России
Карты биты: новая группа ReaverBits атакует российские компании
МВД РФ столкнулось с невозможностью замены серверов на отечественных процессорах
Троян FatalRAT атакует энергетику, здравоохранение и логистику