Новая группа ReaverBits атакует российские компании
На текущий момент нашим экспертам известно уже о 5 рассылках группы, две из них были зафиксированы в декабре 2023 года, две — в январе 2024 года, а последняя — в мае. Атаки направлены на российские компании из сферы ритейла, телекоммуникаций, процессинговую компанию, агропромышленное объединение, федеральный фонд. Все рассылки были заблокированы системой F.A.С.С.T. Managed XDR, клиенты F.A.C.C.T. получили оперативные уведомления об угрозах с их полным техническим анализом.
Основные черты, характеризующие обнаруженную группу ReaverBits:
-
известные на сегодняшний день атаки со стороны группы были направлены исключительно на российские организации;
-
группа активно применяет спуфинг;
-
злоумышленники используют MetaStealer в качестве нагрузки;
-
в одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.
Инфраструктура группы ReaverBits и связанные файловые индикаторы приведены в разделе индикаторы компрометации нового блога, а граф сетевой инфраструктуры — на рисeyrt
Все технические подробности 5 атак группы ReaverBits, включая индикаторы компрометации и MITRE ATT&CK®, читайте в новом блоге, подготовленном экспертами команды F.A.C.C.T. https://www.facct.ru/blog/reaverbits/