Киберпреступная группа Hive0117 осуществила масштабную фишинговую атаку на российские компании, используя вредоносное программное обеспечение DarkWatchman. Атака произошла 29 апреля, предшествуя майским праздникам, и затронула организации из разных секторов, включая медиа, туризм, финансы, страхование, производство, розничную торговлю, энергетику, телекоммуникации и биотехнологии. Об этом сообщила пресс-служба компании F6.
Специалисты в области кибербезопасности отмечают, что Hive0117 — это финансово ориентированная группа, активность которой наблюдается с февраля 2022 года. Они известны своим использованием DarkWatchman и проведением масштабных фишинговых атак. Злоумышленники подделывают коммуникацию от реальных организаций и часто используют одну и ту же доменную инфраструктуру для атак. Их цели находятся не только в России, но также в Беларуси, Литве, Эстонии и Казахстане.
Конкретная кампания, зафиксированная 29 апреля специалистами F6 Threat Intelligence, представляла собой массовую рассылку электронных писем. Система F6 Managed XDR обнаружила и заблокировала более 550 таких сообщений. Письма содержали тему «Документы от 29.04.2025» и приходили с адресов, маскирующихся под корпоративные.
Вложения в этих письмах были защищенными паролем архивами с названиями вроде «Док-ты от 29.04.2025.rar», «Документы от 29.04.2025.rar» или «Документация от 29.04.2025.rar». Открытие таких архивов запускало процесс заражения, приводя к установке на систему модифицированной версии DarkWatchman.
DarkWatchman обладает особенностью действовать скрытно, избегая обнаружения стандартными антивирусными средствами. Факт атаки перед длительными выходными демонстрирует стремление киберпреступников воспользоваться возможным снижением бдительности и оперативности реагирования в праздничный период.
Также стало известно о новой уязвимости AirBorne, позволяющей хакерам прослушивать устройства, поддерживающие AirPlay.