Эксперты «Лаборатории Касперского» обнаружили атаки на российские организации с использованием фреймворка Ravage
Эксперты «Лаборатории Касперского» обнаружили группу, которая с января 2026 года атакует российские учебные заведения, энергетические компании и госучреждения с помощью пентест-фреймворка Ravage. Злоумышленники рассылают фишинговые письма с вложениями под видом Excel, что позволяет загрузить бэкдоры PureRAT и PowerShell-скрипт для запуска Ravage. Фреймворк умеет выполнять файловые операции, скриншоты и команды через SMB/WMI, но не крадёт пароли и не создаёт скрытые каналы.
Эксперты «Лаборатории Касперского» выявили ранее неизвестную группу, атакующую российские организации, включая учебные заведения и энергетические компании, сообщили SecPost в компании. Отличительной чертой группировки стало использование фреймворка Ravage, предназначенного для тестирования на проникновение. Согласно данным компании, злоумышленники начали применять этот инструмент в атаках с января 2026 года.
Для получения первоначального доступа, как сообщили эксперты, злоумышленники рассылают фишинговые письма с вредоносными архивами, маскирующимися под Excel-документы (например, списки товаров или формы). Файлы представляют собой расширение для Excel: при двойном клике запускается Excel и начинается загрузка вредоносной библиотеки. Активировавшийся загрузчик скачивает два исполняемых файла с URL-адресами на взломанном сайте. Один из них загружает биндер, программу-склейщик разнотипных файлов, в один для упаковки бэкдоров и стилеров (PureRAT), второй — утилиту для запуска PowerShell-скрипта, который загружает фреймворк Ravage.
Фреймворк Ravage вышел на GitHub в сентябре 2025 года, а в январе 2026 года, как отмечается в сообщении, его начали использовать злоумышленники. Изначально группировка применяла известные инструменты по модели Malware-as-a-Service (PureRAT, RedLine). Как сообщили в компании, группа активна как минимум с 2024 года, а её атаки достаточно редки, что свидетельствует о планомерной разработке сценариев проникновения.
По оценкам «Лаборатории Касперского», Ravage по функциональности похож на инструменты удалённого доступа: он способен выполнять файловые манипуляции (выгрузка, копирование, удаление), запускать процессы, выполнять PowerShell-скрипты с сервера злоумышленников, делать скриншоты, а также выполнять команды в локальной сети через SMB или WMI. При этом фреймворк не умеет получать тикеты, токены, сохранённые пароли и создавать скрытые каналы управления.
