Аналитики Центра кибербезопасности F6 сообщили о новой массовой рассылке вредоносных писем от группы Hive0117. Эта киберпреступная группировка действует с февраля 2022 года и известна использованием трояна DarkWatchman RAT.
После нескольких месяцев затишья 24 сентября специалисты F6 зафиксировали свежую активность.
Злоумышленники рассылали письма от поддельного адреса mail@fssp[.]buzz, маскируясь под Федеральную службу судебных приставов. Похожие кампании наблюдались и летом — в июне и июле.
Вредоносные вложения загружались с доменов 4ad74aab[.]cfd и 4ad74aab[.]xyz. В списке целей оказалось 51 организация из России и Казахстана: банки, маркетплейсы, телеком-операторы, логистика, автодилеры, промышленные и строительные компании, продуктовый ретейл, лотерейные операторы, страховщики, инвестиционные фонды, предприятия ТЭК, фармкомпании, НИИ, технопарк, операторы ТКО, тревел-сервисы, фитнес и ИТ-бизнес.
Hive0117 уже применял похожие приёмы — рассылая архивы якобы от Минобороны или лжеповестки. Во всех зафиксированных случаях атаки удалось остановить системой F6 Managed XDR, которая отвечает за обнаружение и блокировку сложных угроз.
