Новости Возвращение DarkWatchman. Троян, который маскировался под ФССП и Минобороны, снова атакует российский бизнес

NewsMaker

I'm just a script
Премиум
20,967
46
8 Ноя 2022
Под ударом — более 50 компаний.


9r578dmdwaasnjj1y2m8ki2295c1voci.jpg

F6 сообщили о новой волне вредоносных рассылок, связанных с группировкой Hive0117.

Hive0117 действует с февраля 2022 года и использует троян DarkWatchman RAT. Группа маскирует свои кампании под сообщения от реальных организаций, регистрирует инфраструктуру для рассылок и управляющих доменов, иногда применяя их повторно.

По данным F6, 24 сентября после нескольких месяцев затишья была зафиксирована активность DarkWatchman. Атаки велись от имени Федеральной службы судебных приставов с адреса mail@fssp[.]buzz. Аналогичные рассылки наблюдались в июне и июле. В ходе анализа выявлены домены 4ad74aab[.]cfd и 4ad74aab[.]xyz.

Целью атак оказались компании в России и Казахстане. В список из 51 адресата вошли банки, телеком-операторы, маркетплейсы, логистические и производственные предприятия, автодилеры, строительные компании, ритейл, страховые и инвестиционные организации, структуры ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, а также сервисы в сфере туризма, фитнеса и IT.

DarkWatchman также распространялся через рассылки под видом архива якобы от Минобороны и лже-повесток .
 
Источник новости
www.securitylab.ru

Похожие темы