Финансовая группировка Hive0117 атаковала российские компании с помощью модифицированного DarkWatchman

Группировка Hive0117 известна с февраля 2022 года и специализируется на финансовых киберпреступлениях. В своих операциях злоумышленники активно применяют фишинговые рассылки, маскируя письма под официальные документы от легитимных организаций. Особенностью их тактики является повторное использование ранее зарегистрированных доменов для управления командными серверами и рассылки вредоносных вложений. География атак не ограничивается Россией - в зону риска также попали Беларусь, Литва, Эстония и Казахстан.

Система F6 Managed XDR выявила массовую рассылку писем с темой «Документы от 29.04.2025», отправленных с адреса manager@alliance-s[.]ru на более чем 550 корпоративных почтовых ящиков. Вложениями выступали архивы, защищенные паролем, с названиями «Док-ты от 29.04.2025.rar», «Документы от 29.04.2025.rar» и «Документация от 29.04.2025.rar». При открытии архива запускался сложный сценарий заражения, приводящий к установке модифицированной версии DarkWatchman. Этот вредоносный инструмент способен обходить традиционные антивирусные решения, что делает его особенно опасным.

Анализ домена alliance-s[.]ru показал, что он зарегистрирован на те же данные, что и ранее использовавшиеся группировкой домены voenkomat-mil[.]ru и absolut-ooo[.]ru. В 2023 году с этих адресов рассылались фишинговые письма с вложениями «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip» и «Акт сверки №114-23 от 29.09.2023[.]zip». Повторное применение инфраструктуры подтверждает, что Hive0117 предпочитает проверенные методы атак, что упрощает их обнаружение, но не снижает эффективность.

Эксперты по кибербезопасности рекомендуют компаниям усилить защиту от фишинговых атак, в том числе за счет обучения сотрудников основам цифровой гигиены. Важно научить персонал распознавать подозрительные письма, проверять отправителей и не открывать вложения из непроверенных источников. Также критически важно внедрять современные системы мониторинга угроз, такие как XDR-решения, которые позволяют оперативно выявлять и блокировать вредоносную активность.

Учитывая активность Hive0117 и их предпочтение в использовании уже отработанных схем, компании должны быть особенно внимательны к любым неожиданным письмам с вложениями. Регулярное обновление антивирусного ПО, настройка фильтров электронной почты и применение многофакторной аутентификации помогут минимизировать риски заражения. В условиях роста киберугроз только комплексный подход к информационной безопасности позволит организациям защитить свои данные и инфраструктуру.

IPv4

• 135.181.41.169
• 185.159.131.10
• 193.176.158.127
• 40.81.120.44
• 52.111.227.13
• 52.111.229.11
• 52.111.229.19
• 52.111.229.48
• 52.111.236.24
• 52.111.236.25
• 52.111.236.26
• 52.111.243.25
• 52.111.243.26
• 52.111.243.27
• 52.111.243.31
• 95.182.100.187
• 95.211.190.243

Domains

• 039eeff6.fun
• 039eeff6.online
• 039eeff6.site
• 09860e92.fun
• 09860e92.online
• 09860e92.site
• 19601cd9.fun
• 19601cd9.online
• 19601cd9.site
• 35e32b0f.fun
• 35e32b0f.online
• 35e32b0f.site
• 3a60dc39.fun
• 3a60dc39.online
• 3a60dc39.site
• 3d0d1820.fun
• 3d0d1820.online
• 3d0d1820.site
• 3d13c1f9.fun
• 3d13c1f9.online
• 3d13c1f9.site
• 4a0a28b6.fun
• 4a0a28b6.online
• 4a0a28b6.site
• 4ad74aab.biz.ua
• 4ad74aab.cfd
• 4ad74aab.fun
• 4ad74aab.sbs
• 4ad74aab.space
• 4ad74aab.xyz
• 4d67ecaf.fun
• 4d67ecaf.online
• 4d67ecaf.site
• 60df3369.fun
• 60df3369.online
• 60df3369.site
• 6f0454b9.fun
• 6f0454b9.online
• 6f0454b9.site
• 7737a33d.fun
• 7737a33d.online
• 7737a33d.site
• 7966f93f.fun
• 7966f93f.online
• 7966f93f.site
• 82334906.fun
• 82334906.online
• 82334906.site
• 8c78a7e8.fun
• 8c78a7e8.online
• 8c78a7e8.site
• 8f046b4c.fun
• 8f046b4c.online
• 8f046b4c.site
• 9243e231.cfd
• 9243e231.sbs
• 9243e231.xyz
• 950a5e96.fun
• 950a5e96.online
• 950a5e96.site
• a404499a.fun
• a404499a.online
• a404499a.site
• absolut-ooo.ru
• alliance-s.ru
• bc0324ae.biz.ua
• bc0324ae.cfd
• bc0324ae.fun
• bc0324ae.sbs
• bc0324ae.space
• bc0324ae.xyz
• bd12379b.fun
• bd12379b.online
• bd12379b.site
• c5971d03.fun
• c5971d03.online
• c5971d03.site
• d303790c.fun
• d303790c.online
• d303790c.site
• d61db2e5.fun
• d61db2e5.online
• d61db2e5.site
• d634555e.fun
• d634555e.online
• d634555e.site
• d7d7f722.fun
• d7d7f722.online
• d7d7f722.site
• dab53527.fun
• dab53527.online
• e353067e.fun
• e353067e.online
• e353067e.site
• eb074752.fun
• eb074752.online
• eb074752.site
• ebdbb64e.fun
• ebdbb64e.online
• ebdbb64e.site
• voenkomat-mil.ru

Emails

• manager@alliance-s.ru

MD5

• 33f5b851df378f64a26c7f7c65cf9017
• 52046d44d6e4dbf55ba03b0c177ac838
• 5553545c21225f33beeb2da8ffd0ce7c
• 5712568d781f9ba19a70e3c544268fe5
• 874c7112d5cb509ae3bfbf81acb031b7
• 896fd83eedf009c0e54cd36889d5d5fa
• 8be367b5521e30979f9a4ca3f5bb04fa
• 91e85f333ce0a8547f438c98f158e685

SHA

• 3830ee8981dd82d75669c21832967c7e815f25e0
• 393d139ed8f4470164cde8f5cf3e7a1bc8d5eb63
• 4050afb7bee0ab4a968a051f25878b8ad17693d7
• 4ec743e0e1fea35cdfc94ff347c92d95dd383bbe
• b0ea8fa4266ef5991bcef8e1391260eaa78e4915
• b8996b7ae9779c6d37d42250e39b7d04a0443c13
• b92212b045c9a311e5e3a900f1fbedf3cd25c47f
• c8d622ca3cef4d145d65a5a63ca325ec18706f8b

SHA256

• 0342c61ca349b5c5993283fd0a71c4fed8d11df10a7fad25c9bab10f8bb9fd68
• 052be205c6cc50400cfe933a12e69718de484004dad66bc8792aa68439373adc
• 072125077bc627cffb862473385c2e6c8b359dcf7ca314140d3d4f90a84436eb
• 07909a3534225ab0ba3d40b66e3a44a7092195495d7243ce7bf4a899a14775a5
• 36de1677dbfa7fd59f07fe7eb83f0777b580fa418b270867ef4085fa24c713a2
• 4b884ef88b610061f154fa7e98f49fe708f8a6646ca00a002e441af4033e7f98
• cc1fd0e91c60bc8ce24e934d0401faf851077b08554da4d60be59ecce4b71eef
• e35f82f85a608553483482ce7297d49de205f609961d8bf3511cb1a00bcad956