Анализ угроз группы ROOM155: финансовые атаки и современные RAT-эксплойты
Источник: www.f6.ru
С момента своего появления в 2022 году группа ROOM155, также известная под именами DarkGaboon и Vengeful Wolf, успела занять значительное место среди наиболее активных киберпреступных организаций. Их основная цель — российские секторы экономики, особенно финансовый сектор. Используя сложные методы атак, злоумышленники успешно обходят классические механизмы защиты и наносят ощутимый урон своим жертвам.
Методы и инструментарий атак
ROOM155 известна своими изощренными фишинговыми кампаниями, которые включают рассылку вредоносных вложений. Это могут быть:
- архивы с вредоносным ПО;
- документы, маскирующиеся под официальные файлы;
- исполняемые файлы с двойными расширениями, например,
.pdf.scrи.xlsx.scr, что усложняет их идентификацию.
Среди используемых вредоносных программ выделяются:
- Revenge RAT — мощный инструмент для удалённого управления;
- XWorm;
- Avemaria RAT;
- Darktrack;
- DCRAT;
- Venomrat.
Эти вредоносные программы рассылаются через электронную почту и предназначены для обмана пользователей с целью запуска зараженных файлов.
Инфраструктура и технические особенности
Группа использует разветвлённую сеть серверов управления (C2), среди которых выделяется rampage.myvnc.com, являющийся с середины 2023 года ключевой платформой для размещения различных видов вредоносного ПО.
Примеры вредоносных файлов включают, но не ограничиваются файлом 0968498486.TMP.EXE (XWorm). Кроме того, злоумышленники используют уязвимости в легитимных финансовых ресурсах для привлечения жертв, что повышает вероятность успешного проникновения.
Важно отметить использование техники маскировки исполняемых файлов посредством двойных расширений и динамического DNS, что свидетельствует о высокой сложности и адаптивности их инфраструктуры. Общие конфигурации вредоносных программ при этом позволяют централизованно управлять операциями.
Цели атак и последствия
ROOM155 преимущественно атакует:
- финансовые организации (51% всех атак);
- транспорт;
- розничную торговлю;
- промышленный сектор.
Основная тактика заключается в шифровании файлов жертв с помощью версии Lockbit 3.0 и выдвижении требований о выкупе, что демонстрирует структурированный и настойчивый подход к киберпреступной деятельности. Зашифрованные файлы обычно имеют уникальные расширения, связанные с деятельностью группы, что свидетельствует о постоянном развитии и расширении функционала вредоносных инструментов.
Механизмы сохранения и маскировки
Для обеспечения устойчивости вредоносного ПО в системе злоумышленники применяют следующие методы:
- изменения в реестре Windows для автономного перезапуска после перезагрузки;
- использование поддельных сертификатов X.509 для подписания вредоносных файлов, что повышает их легитимность и усложняет обнаружение;
- регистрация доменов для сокрытия происхождения атак.
Кроме того, инструменты, такие как Revenge RAT, обладают широким функционалом, включающим фильтрацию данных, доступ к веб-камерам и микрофонам, управление процессами, сбор нажатий клавиш и извлечение конфиденциальной информации из браузеров.
Итоги
Группа ROOM155 является примером современного финансово мотивированного киберпреступника, который использует передовые технологии, устойчивую инфраструктуру и разнообразные вредоносные инструменты для систематического эксплуатирования организаций. Такое сочетание опасных практик требует от компаний постоянной бдительности и внедрения передовых систем обнаружения и реагирования на угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
