Группировка Hive0117 провела масштабную фишинговую кампанию с использованием ВПО DarkWatchman

29 апреля специалисты Threat Intelligence компании F6 отследили активность группировки Hive0117, которая провела масштабную фишинговую атаку, ориентированную на российские компании. Целевые отрасли: медиа, туризм, финансы и страхование, производство, ритейл, энергетика, телеком, транспорт, биотехнологии.

Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Цели были выявлены в России, Беларуси, Литве, Эстонии, Казахстане.

Система F6 Managed XDR зафиксировала и заблокировала массовую рассылку писем с темой «Документы от 29.04.2025», отправленных с адреса manager@alliance-s[.]ru на 550+ адресов (рис. 1). Внутри было вложение в виде защищенного паролем архива, распространяемого под именами:

«Док-ты от 29.04.2025.rar» (MD5: 8be367b5521e30979f9a4ca3f5bb04fa);

«Документы от 29.04.2025.rar» (MD5: 91e85f333ce0a8547f438c98f158e685);

«Документация от 29.04.2025.rar» (MD5: 52046d44d6e4dbf55ba03b0c177ac838).

Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией ВПО DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты.

Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные (рис. 2), что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году. Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена