Киберпреступная группировка Hive0117 провела масштабную фишинговую атаку на российские компании, используя вредоносное программное обеспечение (ВПО) DarkWatchman. Атака произошла 29 апреля, непосредственно перед майскими праздниками, затронув организации в медиа, туризме, финансах, страховом секторе, производственном, ритейловом, энергетическом, телекоммуникационном и биотехнологическом.
Об этом "Газете.Ru" сообщили в пресс-службе компании F6.По данным специалистов по кибербезопасности, Hive0117 — это финансово мотивированная группа, активность которой прослеживается с февраля 2022 года. Они известны использованием ВПО DarkWatchman и проведением массовых фишинговых рассылок. Злоумышленники имитируют коммуникацию от реальных организаций, создают и часто повторно используют доменную инфраструктуру для своих атак. Их цели ранее выявлялись не только в России, но и в Беларуси, Литве, Эстонии и Казахстане.
Конкретная кампания, зафиксированная 29 апреля специалистами F6 Threat Intelligence, представляла собой массовую рассылку электронных писем. Система F6 Managed XDR обнаружила и заблокировала отправку более 550 таких сообщений. Письма имели тему "Документы от 29.04.2025" и отправлялись с адреса, замаскированную под корпоративную переписку.
Вложения представляли собой защищенные паролем архивы с названиями типа "Док-ты от 29.04.2025.rar", "Документы от 29.04.2025.rar" или "Документация от 29.04.2025.rar". Открытие такого архива запускало цепочку заражения, ведущую к установке на атакованную систему модифицированной версии ВПО DarkWatchman.
Отличительной особенностью DarkWatchman является его способность действовать скрытно, уклоняясь от обнаружения стандартными средствами антивирусной защиты. Факт атаки накануне длительных выходных указывает на стремление киберпреступников воспользоваться возможным снижением бдительности и оперативности реагирования в праздничный период.
Свежие комментарии