Хакеры Hive0117 возобновили атаки на российские компании

Аналитики Центра кибербезопасности F6 зафиксировали возобновление активности финансово-мотивированной хакерской группировки Hive0117. После нескольких месяцев перерыва преступники возобновили массовые рассылки вредоносных писем, использующие троян DarkWatchman RAT. Об этом IT Speaker рассказали в пресс-службе F6.

Новая волна атак была зарегистрирована 24 сентября. Злоумышленники рассылали письма, маскируясь под Федеральную службу судебных приставов (ФССП), с поддельного адреса mail@fssp[.]buzz. Аналогичная схема применялась группировкой ранее, в июне и июле. Анализ индикаторов компрометации показал, что в кампании использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz.

Целями Hive0117 стали 51 компания из России и Казахстана. В список жертв вошли организации из различных секторов: банки, телеком-операторы, логистические и строительные компании, ритейлеры, предприятия ТЭК, фармацевтические компании и многие другие.

Помимо рассылки под видом ФССП, троян DarkWatchman RAT также распространялся под видом архивов от имени Министерства обороны и фиктивных повесток. Во всех зафиксированных случаях атаки были успешно нейтрализованы платформой F6 Managed XDR, которая обеспечивает продвинутое обнаружение и защиту от сложных киберугроз.

Ранее хакерская группировка Cavalry Werewolf под видом сотрудников различных министерств Киргизии рассылала российским организациям фишинговые письма с целью шпионажа. В основном злоумышленники атаковали государственные учреждения, а также компании из сферы энергетики, добычи полезных ископаемых и обрабатывающей промышленности.