Эксперты «Лаборатории Касперского» обнаружили ранее неизвестную группу, атакующую учебные заведения, энергетические компании и другие российские организации. Среди её отличительных черт — использование фреймворка Ravage, предназначенного для тестирования на проникновение. Этот инструмент способен выполнять на устройстве различные команды, скачивать конфиденциальные данные и делать скриншоты. Злоумышленники начали применять его в атаках в январе 2026 года.
Приманка на Excel. Чтобы получить первоначальный доступ, злоумышленники рассылают потенциальным жертвам в корпоративную почту фишинговые письма с вредоносными архивами. Внутри них содержатся файлы, маскирующиеся под различные Excel-документы, например списки товаров для проверки или формы для заполнения. Для убедительности также могут использоваться названия реальных организаций.
Эти файлы представляют собой замаскированный плагин, или расширение, для приложения Microsoft Excel. Если дважды по нему кликнуть, запустится Excel — и начнётся загрузка и выполнение вредоносной библиотеки. В результате активируется загрузчик, который в свою очередь скачивает и запускает два исполняемых файла. В них вшиты URL-адреса, ведущие на взломанный сайт. По одному из адресов скачивается биндер*, используемый для упаковки известных бэкдоров и стилеров, в частности PureRAT, а по второму — утилита для преобразования файлов, позволяющая запустить скрипт PowerShell, который и загружает фреймворк Ravage.
Что известно о Ravage. Фреймворк Ravage для тестирования на проникновение вышел на GitHub в сентябре 2025 года, а в январе 2026 года его начали использовать злоумышленники. Изначально деятельность этой группы не привлекала внимание: они применяли известные инструменты, такие как PureRAT или RedLine, которые распространяются по модели «вредоносное ПО как услуга» (Malware-as-a-Service), то есть, по сути, брали их в аренду.
Жертвы. За последние 12 месяцев половина атак пришлась на российские учебные заведения, причём большая часть из них относилась к морскому, речному, водному, рыбохозяйственному делу и транспорту. Также с ними столкнулись российские организации из энергетической отрасли, государственные, дипломатические и финансовые учреждения.
Как давно появилась группа. Исследование показало, что группа активна как минимум с 2024 года. Их атаки были достаточно редкими. Это указывает на то, что злоумышленники уже имеют определённый опыт и планомерно разрабатывают сценарии проникновения.
«По своим возможностям Ravage похож на инструменты удалённого доступа (Remote Access Tool). Фреймворк способен выполнять файловые манипуляции — выгружать, скачивать, копировать и удалять, запускать процессы и выполнять внутри себя PowerShell-скрипты, полученные с сервера злоумышленников. Также Ravage может делать скриншоты и выполнять команды на компьютерах локальной сети через SMB или WMI. Всё это относится к базовой функциональности, а вот получать тикеты, токены, сохранённые пароли, а также создавать скрытые каналы управления внутри заражённой сети он не умеет», — комментирует комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
Чтобы защититься от подобных атак, «Лаборатории Касперского» рекомендует организациям:
- проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR, такое как Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus;
- защищать конечные устройства с помощью решений, эффективность которых подтверждается независимыми тестами, например Kaspersky Security для бизнеса;
- применять комплексные решения, позволяющие выстроить гибкую и эффективную систему безопасности, такие как Kaspersky Symphony XDR.
Узнать подробности можно на сайте Securelist.ru.
* Биндер — программа-склейщик разнотипных файлов в один.
Источник: пресс-служба «Лаборатории Касперского»
