Поиск следов
Одним из способов начать поиск активности какой-либо группировки является анализ публичных песочниц. Используя платформу ANY.RUN, экспертами «Перспективного мониторинга» были обнаружены образцы схожих фишинговых писем и вредоносных архивов, которые были загружены с конца сентября 2025 года.Сэмплы фишинговых писем имели типовой заголовок и текст на русском языке:
Кроме этого, вредоносные архивы, прилагаемые к письмам, содержали идентичный документ-приманку в формате ".doc" и exe-файл, обфусцированный c помощью протектора Themida. Как часто бывает, документ-приманка имел орфографическую ошибку:
С помощью фильтров ANY.RUN нами были обнаружены схожие образцы вредоносных вложений, а также исполняемых файлов в формате ".exe":
- Акт сверки взаиморасчетов предприятия № 193 от 7 октября 2025 года.exe
- Акт сверки взаиморасчетов предприятия № 192 от 15 октября 2025 года.exe
- Акт сверки взаиморасчетов предприятия № 194 от 13 октября 2025 года.exe
- Акт сверки взаиморасчетов предприятия № 192 от 20 октября 2025 года.exe
Также в ходе исследования одного из сэмплов было выявлено, что exe-файл устанавливал соединение с ресурсами kilimanjaro.run[.]place:8811 и kilimanjaro.theworkpc[.]com:8811. Это позволило найти другие образцы, в которых также могли фигурировать определенные домены. Для этого применялся еще один тип фильтров – поиск по доменам и IP-адресам.
Анализ образцов в публичных песочницах и вендорских отчетов позволяет определить общие, но в тоже время отличительные признаки, указывающие на активность определенной группировки. В нашем случае это - room155.
Следующим шагом при фиксировании новых атак злоумышленников является более детальное изучение обнаруженных сэмплов, в частности исполняемых exe-файлов.
Так, в ходе исследования было выявлено, что атакующие продолжают использовать для маскировки иконки PDF-документов и Excel-таблиц, а также невалидные сертификаты, выпущенные под видом российского ИБ-вендора
Также в качестве техники закрепления группировка использует запланированные задачи с целью запуска в директории %AppData%\Roaming\ копии исполняемых файлов из архива:
C:\Windows\System32\schtasks.exe /create /f /RL HIGHEST /sc minute /mo 1 /tn "wlan" /tr "C:\Users\admin\AppData\Roaming\wlan.exe"Таким образом, более детальное исследование исполняемых файлов еще раз свидетельствует о новой активности группировки room155 и использовании RevengeRAT/XWorm.
Сетевая инфраструктура
При обнаружении новой кампании важным этапом также является анализ используемой сетевой инфраструктуры. Как ранее было указано при исследовании сэмплов, нашими специалистами было выявлено, что в качестве С2-серверов группировка использовала следующие домены:- kilimanjaro.theworkpc[.]com
- burkinafaso.duckdns[.]org
- myhost.misecure[.]com
- kilimanjaro.run[.]place
Проверка записей passive DNS показала, что в октябре этого года атакующие из room155 изменили IP-адреса для доменов kilimanjaro.theworkpc[.]com, kilimanjaro.run[.]place и myhost.misecure[.]com
С помощью исследования pDNS можно найти другие взаимосвязи между сетевыми ресурсами. Например, IP-адреса 80.91.223[.]6 и 80.91.223[.]63 находились в одной ASN: 49581.
Идем дальше и определим ресурсы, используемые атакующими для фишинга. Благодаря whois-записям и информации на VirusTotal мы удостоверились, что room155, как и ранее, используют собственные почтовые домены:
- tim9202[.]ru
- fabricha[.]ru
Таким образом, выполненный нами анализ показал, что инфраструктура С2-серверов группировки room155 только расширяется:
Результатом TI-экспертизы становится:
- Разработка детектирующей логики AM Rules
- Добавление собранных киберразведданных в AM TIP
- Загрузка индикаторов компрометации в средства защиты информации ViPNet
Индикаторы компрометации:
IP:
80.91.223[.]680.91.223[.]63
192.121.16[.]216
192.169.69[.]26
196.251.66[.]118
Domains:
kilimanjaro.theworkpc[.]comburkinafaso.duckdns[.]org
myhost.misecure[.]com
kilimanjaro[.]run[.]place
tim9202[.]ru
fabricha[.]ru
SHA256:
RAT:59108e457fe2bb95aa7b9f611175e674bf2dd82f0fab588fffb68e4b3907d0d6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-архивы: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Документы-приманки:
b8135b941667201747ab6fee6251ef7c369d9687f3ea5db9117c5a74b3182daf
3fb178a5dde0c1761d19b60be03d7d156e1c0da19e925a28a52cfe99b3d07ad7
3afd3772a2da1eccbf3afef2e65b1faf2b23b1d641a8ceab12ea7e385bd44478