Киберпреступная группа Hive0117 атаковала более 50 компаний России и Казахстана под видом ФССП

Аналитики Центра кибербезопасности (ЦК) F6 обнаружили новую волну вредоносных рассылок от группы Hive0117.

Hive0117 — это финансово-мотивированная киберпреступная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.

24 сентября после нескольких месяцев затишья ЦК F6 зафиксировал новую активность трояна DarkWatchman RAT. Злоумышленники атаковали компании под видом почтовой рассылки от ФССП (Федеральная служба судебных приставов) с почтового адреса mail@fssp[.]buzz. Аналогичная рассылка была также обнаружена в июне и июле.

В ходе анализа индикаторов было выявлено, что в этих рассылках использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz. Анализ получателей показал, что целью группы HIVE0117 были компании, расположенные в России и Казахстане. В списке — 51 адресат (банки, маркетплейсы, телеком-операторы, логистические компании, автодилеры, производственные предприятия, строительные компании, продуктовый ритейл, лотерейные операторы, страховщики, инвестиционные компании, организации ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, тревел-сервисы, фитнес и IT).

DarkWatchman RAT также распространялся под видом архива якобы от Минобороны и лже-повесток. Во всех случаях атаки были нейтрализованы системой для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз F6 Managed XDR.