BI.ZONE: кибергруппировка Watch Wolf вновь атакует российские компании

В марте Watch Wolf пыталась распространить троян DarkWatchman через фишинговую рассылку, представляясь сотрудниками логистической компании.

В марте 2026 года команда BI.ZONE Mail Security зафиксировала фишинговую активность. Злоумышленники разослали более тысячи писем сотрудникам финансовых и государственных учреждений России. Атакующие использовали вредоносное ПО DarkWatchman — троян удаленного доступа с расширенной функциональностью. По данным портала киберразведки BI.ZONE Threat Intelligence, за этим стоит кибергруппировка Watch Wolf.

13 марта выявили и заблокировали первую волну рассылки. Письма отправлялись со скомпрометированного почтового адреса с темой «Счет на оплату» и вложениями, которые имитировали финансовые документы. Злоумышленники представлялись сотрудниками бухгалтерии из логистической компании.

18 марта были заблокированы сразу несколько новых рассылок. В одной из них атакующие выдавали себя за специалистов по организации перевозок в промышленном секторе. В письмах злоумышленников с темой «Счет» также были вложения, замаскированные под финансовые документы. В этот раз атакующие использовали более типичный сценарий: распространяли уведомление, что срок бесплатного хранения груза закончился, и призывали к срочным действиям.

Во всех случаях сценарий атаки строился на типичных приемах социальной инженерии: давлении, срочности и угрозах негативными последствиями. В письмах злоумышленники утверждали, что если жертва не отреагирует на письмо в тот же день, груз будет возвращен.

К письмам прикреплялись архивы с исполняемыми файлами внутри — это самораспаковывающиеся архивы, которые разворачивают вредоносную нагрузку при их запуске. В частности, запускался троян удаленного доступа DarkWatchman, а еще дополнительный модуль — кейлоггер, предназначенный для скрытого перехвата вводимых пользователем данных, включая логины и пароли.

Вредоносная программа работает следующим образом: при успешном выполнении она скрытно закрепляется в системе, устанавливает соединение с управляющим сервером и ожидает дальнейших команд от злоумышленников. Впоследствии атакующие получают возможность удаленно контролировать скомпрометированный хост и отслеживать активность пользователя.

Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE: «Чтобы противостоять подобным атакам, организациям необходимо выстраивать комплексную защиту. Рекомендуем проводить регулярное обучение сотрудников по распознаванию фишинга. Так, нужно обращать внимание на давление, срочность и подозрительные формулировки в письмах. Даже если сообщение выглядит убедительно, следует внимательно проверять адрес отправителя и домен. Также важно соблюдать осторожность при работе с вложениями: файлы из непроверенных источников, особенно архивы и исполняемые программы, увеличивают риски.На уровне IT-инфраструктуры необходимо использовать средства фильтрации почты и обнаружения угроз на периметре, включая анализ вложений и ссылок до их доставки пользователю. На конечных устройствах должна быть реализована многоуровневая защита. Для этого нужно использовать антивирус, а также внедрить системы обнаружения и реагирования (EDR). Они позволяют выявлять более сложную вредоносную активность, например попытки закрепиться в системе, установку связи с инфраструктурой или аномальное поведение процессов».

Watch Wolf — финансово-мотивированная группа, которая компрометирует системы с целью получения доступа к онлайн-банкингу и кражи денежных средств. Использует фишинговые письма, а также веб-сайты, созданные с целью распространения вредоносного программного обеспечения, на которые привлекает жертв через отравление поисковой выдачи. Связана с другой финансово-мотивированной группой — Buhtrap.