СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.05.2025
#Dev#ИБ#Инфра

Фишинговые атаки HIVE0117 и вредонос VPO Darkwatchman в России

Фишинговые атаки HIVE0117 и вредонос VPO Darkwatchman в России

Источник: habr.com

Группа HIVE0117: масштабные фишинговые атаки с финансовой мотивацией в России и странах СНГ

29 апреля Межведомственное управление по борьбе с угрозами F6 опубликовало отчет о деятельности киберпреступной группы HIVE0117. Это хакерская структура с финансовой мотивацией, которая с февраля 2022 года проводит крупномасштабные фишинговые атаки, нацеленные на широкий спектр секторов экономики России и других стран СНГ. Среди жертв — СМИ, туризм, финансы, страхование, производство, розничная торговля, энергетика, телекоммуникации, транспорт и биотехнологии.

Методы и инструменты группы HIVE0117

Группа применяет ряд сложных тактик для обеспечения эффективности своих атак. Например, она регистрирует домены, выдавая себя за легальные организации, что позволяет создать инфраструктуру для проведения фишинговых кампаний на высоком уровне. Это дает возможность рассылать огромное количество вредоносных писем с целью заставить получателей открывать вложенные архивные файлы.

Как только пострадавший открывает такой архив, запускается вредоносная цепочка, которая приводит к заражению системы модифицированной версией вредоносной программы VPO Darkwatchman. Этот вариант был специально разработан для минимизации риска обнаружения стандартными средствами защиты, что значительно повышает шансы успешной атаки.

Особенности инфраструктуры и география атак

  • Группа демонстрирует тенденцию повторного использования регистрационной информации и доменов управления (C2), что свидетельствует о приоритетах в использовании отработанных инструментов.
  • Активность HIVE0117 подтверждена не только на территории России, но и в Беларуси, Литве, Эстонии и Казахстане, что указывает на широкий географический охват атак.

Выводы и рекомендации

Деятельность группы HIVE0117 подтверждает, что угроза киберпреступности, направленная против ключевых секторов экономики, продолжает оставаться актуальной. В связи с этим экспертное сообщество настоятельно рекомендует организациям усилить меры защиты от фишинговых атак, включая внедрение многофакторной аутентификации, регулярное обучение сотрудников правилам кибербезопасности и внедрение систем обнаружения вредоносного ПО.

Безопасность информационных систем требует постоянной бдительности и обновления инструментов защиты, чтобы своевременно обнаруживать и нейтрализовать угрозы со стороны таких сложных и адаптивных групп, как HIVE0117.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: