Когда “военкомат” в теме письма значит только одно — в системе уже RAT

Фишинговая кампания с применением вредоносного ПО DarkWatchman вновь нацелена на российские компании. По данным специалистов F6, группировка Hive0117, известная своей активностью ещё с 2022 года, 29 апреля провела новую волну атак, замаскированных под деловую переписку. Целями стали представители медиа, туризма, финансов, страхования, производства, торговли, энергетики, телекоммуникаций, транспорта и биотехнологий.

Фальшивые письма рассылались с адреса manager@alliance-s[.]ru и сопровождались вложениями в виде архивов с названиями вроде «Док-ты от 29.04.2025.rar». Архивы были защищены паролем и содержали модифицированную версию DarkWatchman — вредоноса, способного действовать незаметно, обходя стандартные средства защиты. Всего было зафиксировано более 550 целевых адресатов, среди которых как крупные организации, так и представители малого бизнеса.

DarkWatchman — это модульное вредоносное ПО, написанное на JavaScript и C#, позволяющее атакующим удалённо управлять заражёнными системами, собирать системную информацию, перехватывать нажатия клавиш и загружать дополнительные компоненты. Программа способна работать без сохранения файлов на диск, что затрудняет её обнаружение и удаление. В новой версии были зафиксированы улучшенные методы обхода антивирусных решений и новые сценарии маскировки.

Характерная черта Hive0117 — использование доменов, зарегистрированных на одни и те же данные. В рамках текущей атаки был применён домен alliance-s[.]ru, ранее также использовались voenkomat-mil[.]ru и absolut-ooo[.]ru. Эти домены применялись в рассылках в 2023 году и содержали архивы с такими названиями, как «Мобилизационное предписание» или «Акт сверки». Таким образом, злоумышленники предпочитают не изобретать новые сценарии, а повторно применять проверенные схемы с обновлённой «начинкой».

Анализ инфраструктуры подтвердил повторное использование хостов и доменных имён. Сетевые индикаторы и криптографические хэши заражённых файлов позволяют идентифицировать активность и блокировать дальнейшее распространение. Эксперты F6 указали на десятки доменов в популярных зонах, а также IP-адреса, к которым обращалось вредоносное ПО.

Расследование показало, что Hive0117 продолжает активно развивать и адаптировать DarkWatchman под текущие условия. Кампания строится на социальной инженерии и доверии к правдоподобно написанным письмам. Использование защищённых архивов и вариативность названий вложений позволяет обходить фильтрацию на уровне почтовых систем, а модульная структура самого вредоноса делает его гибким и опасным инструментом для длительного присутствия в сети жертвы.

Вывод очевиден: несмотря на повторяющиеся шаблоны, Hive0117 совершенствует техническую реализацию атак. Повторное использование инфраструктуры, единый почерк маскировки и расширенная функциональность DarkWatchman делают угрозу особенно актуальной для организаций, не использующих системы глубокого анализа вложений и корреляции событий. Учитывая объёмы рассылки и разнообразие целевых отраслей, можно говорить не только о финансовой мотивации, но и о стремлении к созданию устойчивой сети заражённых узлов.