Эксперты обнаружили бэкдор ReaverDoor в атаках на российские компании

Екатерина Быстрова 25 Февраля 2025 - 12:45

Таргетированные атаки

...

Эксперты обнаружили бэкдор ReaverDoor в атаках на российские компании

Специалисты F6 предупреждают о новых атаках кибергруппировки ReaverBits на российские компании. Исследователи зафиксировали рассылку фишинговых писем от имени МВД России с темой «СК РФ Вызов на допрос». В ходе анализа этой атаки был обнаружен ранее неизвестный бэкдор, получивший имя ReaverDoor.

Группировка ReaverBits активна с конца 2023 года и нацелена исключительно на российские организации. Основными объектами атак являются компании в сфере биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финансового сектора.

Отличительными чертами деятельности группы являются:

Использование методов спуфинга в фишинговых кампаниях.
Применение программ класса «стилер» для кражи данных.
Маскировка вредоносных инструментов под цифровые сертификаты и обновления.

С сентября 2024 года по январь 2025 года специалисты F6 зафиксировали две цепочки заражения, в которых использовались обновленные инструменты.

Сентябрь 2024 года — рассылка фишинговых писем от имени Следственного комитета РФ с темой «СК РФ Вызов на допрос». В письмах содержался PDF-документ, при открытии которого появлялось уведомление о необходимости обновления Adobe Font Package с предложением скачать файл. В действительности он содержал Meduza Stealer.
Январь 2025 года — рассылка аналогичных писем уже от имени МВД России. Внутри находилась ссылка якобы для скачивания документа. При переходе на сайт сервер анализировал язык браузера. Если он был русскоязычным, загружался файл «Повестка», включающий Meduza Stealer.

Во время расследования атак в январе 2025 года специалисты F6 обнаружили ранее неизвестный инструмент удаленного доступа, получивший название ReaverDoor. Он отличается высокой степенью скрытности и может свидетельствовать о подготовке группы к более масштабным атакам.

По мнению экспертов, группировка совершенствует свои инструменты и стратегии, стремясь к долгосрочному присутствию в сетях атакованных компаний. Это требует повышенного внимания к механизмам защиты и мониторингу угроз.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 16 Февраля 2026 - 12:24

macOS Трояны Домашние пользователи

Русская «матрёшка»: вредоносная программа прячется слоями на macOS

Пользователей macOS атакует новая изощрённая схема социальной инженерии с говорящим названием Matryoshka. Как выяснили специалисты Intego Antivirus Labs, злоумышленники прячут вредоносный код в «слоях» обфускации, почти как вложенные друг в друга матрёшки. Цель — криптокошельки и деньги пользователей.

Сценарий простой и коварный. Пользователь ошибается в адресе сайта — например, вместо comparisons[.]org вводит comparisions[.]org. Разница минимальная, но домен уже принадлежит атакующим.

Дальше срабатывает цепочка переадресаций через систему распределения трафика (TDS), и вместо ожидаемого сайта человек видит фальшивое сообщение об ошибке. А рядом — «инструкция по исправлению проблемы».

Жертве предлагают скопировать специальную команду и вставить её в Терминал macOS. Фактически пользователь сам запускает заражение.

По словам исследователей, новая версия схемы ClickFix использует «вложенные уровни обфускации», чтобы затруднить анализ. Вредоносный код распаковывается прямо в памяти устройства, а не просто лежит файлом на диске. Это усложняет работу антивирусов и автоматических песочниц.

Кроме того, используются сжатые обёртки и специальные механизмы сетевого взаимодействия, которые затрудняют статический анализ.

После запуска скрипт не просто собирает данные браузера — он вмешивается в работу популярных приложений для аппаратных кошельков.

Trezor Suite: здесь злоумышленники действуют грубо. Если программа обнаружена, её процесс пытаются завершить, удалить приложение и скачать вредоносную версию на замену.

Ledger Live: подход более «хирургический». Внутри легитимного пакета приложения подменяется архив app.asar и связанные метаданные. Внешне всё выглядит как обычно, но внутри уже встроен бэкдор.

Когда данные собраны и кошельки скомпрометированы, пользователю показывают фальшивое сообщение:

«Ваш Mac не поддерживает это приложение. Попробуйте переустановить или скачать версию для вашей системы».

Это нужно, чтобы снизить подозрения и выиграть время. Пользователь думает, что столкнулся с обычной несовместимостью, в то время как его цифровые активы уже могут выводиться злоумышленниками.

Атака не использует сложных эксплойтов, она играет на невнимательности. Достаточно одной опечатки и готовности выполнить «полезную команду» в Терминале.

Главное правило остаётся прежним: никогда не вставляйте в Терминал команды с сайтов, которые предлагают «быстрое исправление ошибки», особенно если вы перешли на них по случайной ссылке или из-за опечатки.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!