Возвращение DarkWatchman. Троян, который маскировался под ФССП и Минобороны, снова атакует российский бизнес

F6 сообщили о новой волне вредоносных рассылок, связанных с группировкой Hive0117.

Hive0117 действует с февраля 2022 года и использует троян DarkWatchman RAT. Группа маскирует свои кампании под сообщения от реальных организаций, регистрирует инфраструктуру для рассылок и управляющих доменов, иногда применяя их повторно.

По данным F6, 24 сентября после нескольких месяцев затишья была зафиксирована активность DarkWatchman. Атаки велись от имени Федеральной службы судебных приставов с адреса mail@fssp[.]buzz. Аналогичные рассылки наблюдались в июне и июле. В ходе анализа выявлены домены 4ad74aab[.]cfd и 4ad74aab[.]xyz.

Целью атак оказались компании в России и Казахстане. В список из 51 адресата вошли банки, телеком-операторы, маркетплейсы, логистические и производственные предприятия, автодилеры, строительные компании, ритейл, страховые и инвестиционные организации, структуры ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, а также сервисы в сфере туризма, фитнеса и IT.

DarkWatchman также распространялся через рассылки под видом архива якобы от Минобороны и лже-повесток.