Всё тайное рано или поздно становится явным. Если злоумышленники постоянно совершенствуют инструменты и меняют инфраструктуру, задача их обнаружения усложняется, но все еще не является невыполнимой. Тактики, техники и процедуры (TTPs) изменить труднее и затратнее, поэтому они часто становятся ключевым элементом в атрибуции, позволяющим аналитикам сопоставить атаки с известной кибергруппой или заключить, что появилась новая угроза.
Киберпреступную группу, отслеживаемую департаментом киберразведки компании F6 по имени room155, известную также как DarkGaboon и Vengeful Wolf, публично впервые описали в 2025 году специалисты Positive Technologies. Коллеги выяснили, что злоумышленники совершали атаки на российские компании как минимум с мая 2023 года.
Итоги нашего исследования room155 на основе данных, полученных из решения F6 MXDR*, позволили:
увеличить ретроспективу активности группы как минимум до декабря 2022 года;
получить данные по целевым отраслям, которые атаковали злоумышленники;
раскрыть информацию об инструментах, которые ранее не указывались исследователями как использующиеся группой;
описать атаки room155 в мае-июне 2025 года и связанные индикаторы компрометации.
Что можно вкратце сказать об этой группе?
Злоумышленники рассылают фишинговые письма с вредоносным архивом во вложении. В архиве – вредоносное программное обеспечение (ВПО) и документ-приманка, загруженный с легитимных российских ресурсов, связанных с финансовой тематикой. В публично известных случаях в письмах распространялся либо Revenge RAT, либо XWorm. В ходе исследований мы выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT. Примеры анализа ряда семплов ВПО группы room155 мы публиковали на платформе MDP F6 (F6 Malware Detonation Platform). Образцы различных семейств ВПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве управляющих серверов. Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Основные цели room155, по итогам анализа вредоносных рассылок – финансовые организации (51%). Далее в списке – компании сферы транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Почему мы называем группу room155? Сочетание «room155» злоумышленники использовали для регистрации аккаунтов почтовых сервисов, которые указывали для связи с жертвами, а позднее зарегистрировали свой домен, содержащий эту же строку.
Что скрывается за дверью?
Наше исследование группы room155 началось с обнаружения файлов, связанных с судебной темой, которые были загружены на публичную онлайн-песочницу в конце 2022 года. Чуть позже мы нашли посты на форуме, которые связали с обнаруженной активностью. Мы наблюдали, что обращения жертв не являются единичными, а, значит, угроза носит серьезный характер. Наши предположения подтвердил один из консультантов, который привел статистику результативных атак группы за 2023-2024 год (на рисунке ниже).
Оказалось, что злоумышленники шифруют устройства жертв с помощью шифровальщика LockBit 3 Black. Группа не имеет своего сайта утечек (DLS). Общение проходит по почте либо с помощью Tox-чата. Злоумышленники указывали следующие контакты для связи:
room155@proton[.]me
room155@tuta[.]io
Позднее они зарегистрировали свой домен room155[.]online и стали использовать почту help@room155[.]online в качестве основной.
Первое обнаружение группы room155
Специалисты F6 Threat Intelligence обнаружили, что 11 января 2023 года на платформу VirusTotal был загружен архив (MD5: 67b967e4eb8c34fe48b4c4facef16776), содержащий образец LockBit 3.0 Black и документ-приманку. Это самый ранний семпл шифровальщика, атрибутированный группе room155, который нам удалось обнаружить.
Архив имеет следующее содержимое:
Информация должнику.exe (MD5: 9f06908471c2eb89ee81fb7c11278ef0) — LockBit 3.0 Black;
Образец жалобы в арбитражный суд.doc (MD5: c7857e48c24bea9ed00d6270ae3dc4a5) — документ-приманка.
Данный семпл создаёт на устройстве жертвы записку о выкупе на английском языке. Последующие записки были написаны на русском языке. Скриншот записки о выкупе представлен ниже.
Контакты, указанные в записке:
room155@proton[.]me
room155@tuta[.]io
В ходе дополнительного исследования удалось обнаружить, что 15 декабря 2022 года на платформу VirusTotal был загружен архив (MD5: 061f9f6b7fa035cb2cf2c5b437686b9e), содержащий файлы, посвященные теме судов и жалоб:
Постановление суда от 05.12.22 г №143.exe (MD5: 6a851b7e10b8a5b6772ba6f75fdd575d) – ВПО Stealerium, C2: hxxps://discord.com/api/webhooks/1038709348303650857/DLQdA51dlH2mWOgr-jjNC0jvu25-oWapgKwxpsqsFwOSYLm4gQOEdFE6XXg7_sReK0AB;
№_75476765_ОБРАЗЕЦ ЖАЛОБЫ.doc (MD5: 111707d8ac313aa3d2e257bbbf396452) – документ-приманка.
6 февраля 2023 года на VirusTotal был загружен архив Документы.zip (MD5: a213bc9bc768cdfbe0b6a9b5bca1eaa5), содержащий следующие файлы:
Оплатить до04.exe (MD5: 70d717a07a6df0db8fa222a5719c1ccd) – Revenge RAT, C2: 167.99.211.66, mydnsftp.myftp[.]biz:6996;
Квитанция.doc (MD5: ccbe6b85ade50d51ea4a65f2c675860d) — документ-приманка.
Хотя хэш-суммы документов-приманок, упомянутых выше (№_75476765_ОБРАЗЕЦ ЖАЛОБЫ.doc, Образец жалобы в арбитражный суд.doc, Квитанция.doc) отличаются, содержимое у них идентично (рисунок ниже).
Исследуя файлы, связанные с C2 доменом mydnsftp.myftp[.]biz, мы обнаружили файл с именем «Судебное постановление от 18.12.22.exe» (MD5: 389390bf696737deedaaf10a90d407d1), который является «мегадроппером» следующих образцов ВПО:
Setup.exe (MD5: 0372cb4f806947727400d1937f3e8063) — Stealerium, C2: https://discord.com/api/webhooks/1038709348303650857/DLQdA51dlH2mWOgr-jjNC0jvu25-oWapgKwxpsqsFwOSYLm4gQOEdFE6XXg7_sReK0AB — использует тот же C2, что и у образца от 15 декабря 2022 (MD5: 061f9f6b7fa035cb2cf2c5b437686b9e);
Setup.exe (MD5: 78d3152616dedb9801ce61015324ae8a) — DarkTrack, C2: mydnsftp.myftp[.]biz, tgt55w.ddns.net;
Setup.exe (MD5: f9a67d8b903d4c3b27b55d1bfdd5c70c) — CryptoClipper;
Setup.exe (MD5: 14bc123a8209f7c21aacea4cd179fbec) — Revenge RAT, С2: mydnsftp.myftp[.]biz:8469, tgt55w.ddns.net:8469.
Позднее образцы ВПО Revenge RAT и DCRat, использующие в качестве С2 этот же домен mydnsftp.myftp.biz, были найдены на устройствах жертв группы room155, зашифрованных LockBit 3.0 Black. По указанной причине все связанные с этим C2 семплы мы относим к деятельности той же группировки.
Фишинговые рассылки
Рассылки от имени ФССП
В конце января-начале февраля 2023 года на одном из форумов появляются посты жертв атак, которые мы атрибутируем группе room155, с просьбой о расшифровке. Согласно этим сообщениям, группа рассылала письма от имени ФССП. Примеры сообщений представлены на рисунках ниже.
4 февраля 2023 года одна из жертв опубликовала пост о вредоносном письме от имени налоговой и приложила ссылки на образцы ВПО:
C:\Users\Мальвина\AppData\Roaming\SecurityUpdater.exe — https://www.virustotal.com/gui/file/a8eea1e31cb83a1aafc54d4d8336d5f3cacc0b77dfe4476995738a46e672f227/detection — ВПО DCRat, использующее в качестве C2: mydnsftp.myftp.biz:9999;
C:\Users\Мальвина\Downloads\Информация должнику.exe -https://www.virustotal.com/gui/file/cb05ec21653042cfd33841d78da893d85c2991d275d8ed4b81df6c164783b8cc/detection – файл поврежден.
Специалисты F6 Threat Intelligence обнаружили похожее письмо с темой «Уведомление о задолженности», которое распространялось 13 февраля 2023 года с электронного адреса firsov[.]sud@mail[.]ru (рисунок ниже).
Содержимое вложенного архива:
№9856.doc (MD5: fcf3ae9ac375e3355556fbab19d1db34) – документ-приманка;
Погасить до 30.04.ex_ (MD5: d3106dc883cde0c9e80964f324cfd4fb) – Revenge RAT, С2: mydnsftp.myftp[.]biz:6996.
Скриншот документа-приманки представлен на рисунке ниже.
Рассылки «договоров» и «актов сверок»
С середины 2023 темы рассылок изменились. Также с конца августа 2023 года злоумышленники стали использовать в качестве C2 для вредоносных программ новый домен: rampage.myvnc[.]com.
Специалисты F6 обнаружили письмо с темой «Договор на подпись», отправленное одному из клиентов в сфере пищевой промышленности, в сентябре 2023 года.
Содержимое письма представлено на рисунке ниже.
Вложение представляет собой архив с именем Договор.zip (MD5: fc1c23ab7a8479c3c60c8d54f0ce0a7d), содержащий следующие файлы:
Бланк.docx(MD5: a6518e6d370406a1c9f60afcd704b084) – приманка;
Договор на оказание услуг № 132 от 7 сентября 2023 года.exe(MD5: ea88132defc837188b974d09f3391dc7) – Revenge RAT, C2: rampage.myvnc[.]com.
В конце 2023 года стали появляться посты от жертв, чьи организации были зашифрованы после запуска вредоносных вложений из писем с темами «Акт сверки» (рисунки ниже).
Как минимум с осени 2023 года злоумышленники стали использовать ВПО XWorm. Согласно следующим сообщениям на форуме (представлены на рисунках ниже), жертва была заражена XWorm и Revenge RAT:
0478.tmp.exe (MD5: 9bebf6c1615cc230308ded6279949318) — XWorm, C2: rampage.myvnc[.]com:8404
Aкт cвepки взaимopacчeтoв за период09.2023 — 13.10.2023 года.exe (MD5: 9d270c40d2376950525b2b85b35f3911) – Revenge RAT, С2: rampage[.]myvnc[.]com:7997
Образец Revenge RAT закрепляется в системе с помощью модификации раздела реестра Run, создавая значение BraveUpdater.exe: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BraveUpdater.exe
Стоит отметить, что создание Revenge RAT значения BraveUpdater.exe в ключе реестра Run часто использовалось группой.
Продолжение статьи, подробности, индикаторы компрометации - в блоге департамента киберразведки на сайте F6.