Поделиться
F6 представила исследование атак киберпреступной группы room155
Компания F6, разработчик технологий для борьбы с киберпреступностью, опубликовала исследование активности группы room155, известной также как DarkGaboon и Vengeful Wolf.
Киберпреступную группу, отслеживаемую департаментом киберразведки компании F6 по имени room155, известную также как DarkGaboon и Vengeful Wolf, публично впервые описали в 2025 г. специалисты Positive Technologies. Коллеги выяснили, что злоумышленники совершали атаки на российские компании как минимум с мая 2023 г.
Итоги исследования room155, которое аналитики F6 провели на основе данных, полученных из решения F6 MXDR, позволили: увеличить ретроспективу активности группы как минимум до декабря 2022 г.; получить данные по целевым отраслям, которые атаковали злоумышленники; раскрыть информацию об инструментах, которые ранее не указывались исследователями как использующиеся группой; описать атаки room155 в мае-июне 2025 года и связанные индикаторы компрометации.
Злоумышленники рассылают фишинговые письма с вредоносным архивом во вложении. В архиве – вредоносное программное обеспечение (ВПО) и документ-приманка, загруженный с легитимных российских ресурсов, связанных с финансовой тематикой. В публично известных случаях в письмах распространялся либо Revenge RAT, либо XWorm. В ходе исследований мы выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT. Образцы различных семейств ВПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве управляющих серверов. Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Основные цели room155, по итогам анализа вредоносных рассылок – финансовые организации (51%). Далее в списке – компании сферы транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Почему группа называется room155? Сочетание “room155” злоумышленники использовали для регистрации аккаунтов почтовых сервисов, которые указывали для связи с жертвами, а позднее зарегистрировали свой домен, содержащий эту же строку.
Поделиться
Короткая ссылка
