СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18 июня
#ИБ

Hive0117 усилила фишинговые атаки на бухгалтеров в России


Hive0117 усилила атаки на бухгалтеров в России и СНГ: группа использует DarkWatchman, LiteManager и BitRAT

В 2026 году активность финансово мотивированной группировки Hive0117 заметно выросла, причем основная цель атак — сотрудники бухгалтерий в компаниях по всей России и странам СНГ. По данным отчета, группа, действующая с конца 2021 года, применяет комплекс фишинговых схем и вредоносных инструментов, чтобы получить доступ к корпоративным банковским системам и вывести деньги на подконтрольные счета.

Особую опасность кампаниям Hive0117 придает сочетание безфайлового ВПО DarkWatchman, модулей для кражи учетных данных и удаленного администрирования, а также техник, позволяющих маскировать незаконные платежи под легитимные операции, включая выплаты заработной платы.

Как работает схема атаки

Основной вектор проникновения — фишинговые письма, которые выглядят как обычные рабочие документы и побуждают бухгалтеров открыть вложение. Для этого злоумышленники используют темы, хорошо знакомые сотрудникам финансовых подразделений:

  • «Счет»;
  • «Товарная накладная»;
  • «Неоплаченный счет».

Внутри писем находится архив RAR с вредоносным содержимым. Чтобы обойти почтовые фильтры, вредоносный код зашифрован и защищен паролем, причем пароль размещается прямо в тексте письма. После распаковки архива пользователь фактически запускает вредоносный код, открывая злоумышленникам доступ к рабочей станции.

DarkWatchman и кража данных

После установки DarkWatchman начинает собирать конфиденциальные данные: нажатия клавиш, содержимое буфера обмена и другую информацию, которая может помочь в дальнейшем развитии атаки. Отдельный фокус — отслеживание криптографических токенов, используемых для доступа к корпоративным банковским системам.

Как только злоумышленники обнаруживают наличие токена на зараженном устройстве, они переходят к следующему этапу — повышают уровень доступа и разворачивают дополнительные инструменты удаленного контроля, включая LiteManager и BitRAT. Это позволяет им напрямую управлять скомпрометированными машинами и проводить платежные операции так, чтобы они выглядели легитимно для систем anti-fraud, используемых в корпоративных банках.

Кейлоггер, смарт-карты и HVNC

Отдельные цепочки атак Hive0117 используют модуль кейлоггера, который компилирует C#-скрипты для наблюдения за действиями пользователей. Помимо фиксации нажатий клавиш, он способен обнаруживать смарт-карты, подключенные к рабочей станции, что позволяет злоумышленникам оперативно выполнить несанкционированные действия при выявлении токена.

В отчете также упоминается применение HVNC (Hidden Virtual Network Computing) — техники, которая создает невидимый виртуальный рабочий стол на машине жертвы. Это дает атакующим более устойчивый контроль над устройством при имперсонации пользователя и позволяет:

  • манипулировать буфером обмена;
  • выполнять скрипты;
  • управлять браузерными сессиями, открывающими банковские порталы.

Масштаб кампании

Согласно собранным данным, с начала 2026 года Hive0117 успешно провела около 400 атак на российские предприятия. При этом средний финансовый ущерб от операций группировки заметно вырос всего за несколько месяцев, что указывает на повышение эффективности ее методов и нацеленности на денежные потоки компаний.

Комбинация продвинутого phishing, функционального ВПО и контролируемого развертывания инструментов удаленного доступа делает Hive0117 одной из наиболее опасных финансово мотивированных киберпреступных угроз, действующих в регионе.

Почему это важно

Кампания Hive0117 демонстрирует, насколько точечно современные киберпреступные группы нацеливаются на финансовые подразделения компаний. Бухгалтеры остаются особенно уязвимой категорией: именно они работают с платежами, счетами и банковскими порталами, а значит, становятся ключевой целью для атак, основанных на доверии и социальной инженерии.

В условиях растущего числа атак организациям требуется усилить контроль над почтовыми вложениями, доступом к банковским сервисам и использованием токенов, а также внедрять меры для обнаружения подозрительных RAR-архивов, DarkWatchman и инструментов удаленного доступа, которые могут использоваться для скрытого захвата рабочих станций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: