Личный кабинет
        (925) 090-4039     (925) 090-40-64
Москва, Кривоколенный пер 14/1
vs@vestnik-sviazy.ru
написать нам
В вашей корзине
(пусто)
 

По ту сторону двери

24 Июн 25
24 Июня 2025, 18:10

F6 опубликовала исследование активности группы room155.

Киберпреступную группу, отслеживаемую департаментом киберразведки компании F6, по имени room155, известную также как DarkGaboon и Vengeful Wolf, публично впервые описали в 2025 году специалисты Positive Technologies. Коллеги выяснили, что злоумышленники совершали атаки на российские компании как минимум с мая 2023 года.

Итоги исследования room155, которое аналитики F6 провели на основе данных, полученных из решения F6 MXDR, позволили:
увеличить ретроспективу активности группы как минимум до декабря 2022 года;
получить данные по целевым отраслям, которые атаковали злоумышленники;
раскрыть информацию об инструментах, которые ранее не указывались исследователями как использующиеся группой;
описать атаки room155 в мае — июне 2025 года и связанные индикаторы компрометации.

Вкратце об этой группе можно сказать, что злоумышленники рассылают фишинговые письма с вредоносным архивом во вложении. В архиве – вредоносное программное обеспечение (ВПО) и документ-приманка, загруженный с легитимных российских ресурсов, связанных с финансовой тематикой. В публично известных случаях в письмах распространялся либо Revenge RAT, либо XWorm. В ходе исследований были выявлены и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT. Образцы различных семейств ВПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве управляющих серверов. Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).

Основные цели room155, по итогам анализа вредоносных рассылок, – финансовые организации (51 %). Далее в списке – компании сферы транспорта (16 %), ретейла (10 %), промышленности и логистики (по 7 %), строительства и ЖКХ (3 %), медицины, туризма и IT (по 2 %).

Почему мы называем группу room155? Сочетание «room155» злоумышленники использовали для регистрации аккаунтов почтовых сервисов, которые указывали для связи с жертвами, а позднее зарегистрировали свой домен, содержащий эту же строку.

Подробности, индикаторы компрометации — в новом блоге на сайте F6.

 

Возврат к списку