- Автор темы
- #1
Специалисты «Лаборатории Касперского» обнаружили ранее неизвестную группировку, которая атакует российские организации с помощью Ravage — фреймворка для пентестов, опубликованного на GitHub осенью прошлого года. Среди целей злоумышленников оказались учебные заведения, энергетические компании, государственные структуры, дипломатические представительства и финансовые организации.
Исследователи отмечают, что Ravage появился в открытом доступе в сентябре 2025 года, а уже в январе 2026-го его начали применять в реальных атаках. При этом обнаруженная хак-группа активна как минимум с 2024 года. По данным экспертов, раньше атакующие использовали другие инструменты (включая RedLine, PureRAT и даже Cobalt Strike).
Для первоначального проникновения злоумышленники рассылают фишинговые письма на корпоративные адреса. Вложения маскируются под документы Microsoft Excel: списки товаров, формы для заполнения и другие рабочие файлы. Для правдоподобности в названиях могут фигурировать реальные организации.
На самом деле жертве присылают XLL-файл. Если открыть его, запускается Excel, после чего в систему загружается вредоносная библиотека. Далее цепочка заражения приводит к скачиванию дополнительных компонентов с взломанного сайта. Один из них представляет собой биндер для доставки известных бэкдоров и стилеров, включая PureRAT. Второй запускает PowerShell-скрипт, который в конечном итоге загружает Ravage.
По словам исследователей, по своим возможностям Ravage скорее напоминает обычный инструмент удаленного доступа, чем полноценный фреймворк для постэксплуатации. Он позволяет загружать и выгружать файлы, запускать процессы, выполнять PowerShell-скрипты, делать скриншоты и выполнять команды на других компьютерах локальной сети через SMB или WMI.
При этом возможности инструмента ограничены. В отличие от более продвинутых решений, Ravage не умеет извлекать тикеты, токены и сохраненные пароли, а также не поддерживает создание скрытых каналов управления внутри скомпрометированной сети.
За последние 12 месяцев более половины атак новой, пока безымянной группы пришлось на российские образовательные учреждения. Причем около 80% таких организаций связаны с морским, речным и рыбохозяйственным направлениями, а также подготовкой кадров для транспортной отрасли. Кроме того, атакам подвергались компании энергетического сектора, финансовые организации, госструктуры и дипломатические учреждения.
Отмечается, что группировка действует не слишком активно и может надолго исчезать из поля зрения. Иногда злоумышленники делают перерывы на несколько месяцев, а затем проводят серию атак за короткий срок. По мнению исследователей, такая тактика свидетельствует о том, что за атаками стоит сформировавшаяся группа с опытом и собственными отработанными сценариями проникновения.
Исследователи отмечают, что Ravage появился в открытом доступе в сентябре 2025 года, а уже в январе 2026-го его начали применять в реальных атаках. При этом обнаруженная хак-группа активна как минимум с 2024 года. По данным экспертов, раньше атакующие использовали другие инструменты (включая RedLine, PureRAT и даже Cobalt Strike).
Для первоначального проникновения злоумышленники рассылают фишинговые письма на корпоративные адреса. Вложения маскируются под документы Microsoft Excel: списки товаров, формы для заполнения и другие рабочие файлы. Для правдоподобности в названиях могут фигурировать реальные организации.
На самом деле жертве присылают XLL-файл. Если открыть его, запускается Excel, после чего в систему загружается вредоносная библиотека. Далее цепочка заражения приводит к скачиванию дополнительных компонентов с взломанного сайта. Один из них представляет собой биндер для доставки известных бэкдоров и стилеров, включая PureRAT. Второй запускает PowerShell-скрипт, который в конечном итоге загружает Ravage.
По словам исследователей, по своим возможностям Ravage скорее напоминает обычный инструмент удаленного доступа, чем полноценный фреймворк для постэксплуатации. Он позволяет загружать и выгружать файлы, запускать процессы, выполнять PowerShell-скрипты, делать скриншоты и выполнять команды на других компьютерах локальной сети через SMB или WMI.
При этом возможности инструмента ограничены. В отличие от более продвинутых решений, Ravage не умеет извлекать тикеты, токены и сохраненные пароли, а также не поддерживает создание скрытых каналов управления внутри скомпрометированной сети.
За последние 12 месяцев более половины атак новой, пока безымянной группы пришлось на российские образовательные учреждения. Причем около 80% таких организаций связаны с морским, речным и рыбохозяйственным направлениями, а также подготовкой кадров для транспортной отрасли. Кроме того, атакам подвергались компании энергетического сектора, финансовые организации, госструктуры и дипломатические учреждения.
Отмечается, что группировка действует не слишком активно и может надолго исчезать из поля зрения. Иногда злоумышленники делают перерывы на несколько месяцев, а затем проводят серию атак за короткий срок. По мнению исследователей, такая тактика свидетельствует о том, что за атаками стоит сформировавшаяся группа с опытом и собственными отработанными сценариями проникновения.