Модифицированный DarkWatchman атакует российские корпорации: следы Hive0117 обнаружены в масштабной кампании

Специалисты Threat Intelligence компании F6 обнаружили активность 29 апреля. По их данным, злоумышленники нацелились на организации из десяти секторов экономики. В частности, под удар попали медиакомпании, туристические операторы, финансовые учреждения и телекоммуникационные гиганты. Кроме того, пострадали предприятия энергетики, транспорта и биотехнологий.

Тактика и инструменты атакующих

Группировка Hive0117 действует с февраля 2022 года, демонстрируя устойчивый интерес к российскому цифровому пространству. Впрочем, их активность распространяется и на соседние страны: Беларусь, Литву, Эстонию и Казахстан. Фишинг остается их основным методом проникновения: злоумышленники мастерски подделывают официальные письма.

Система F6 Managed XDR зафиксировала массовую рассылку с характерной темой «Документы от 29.04.2025». Интересно, что письма отправлялись с адреса manager@alliance-s[.]ru на 550 корпоративных ящиков. Вложения выглядели как запароленные архивы с вариациями названий:

После открытия архива запускался многоступенчатый сценарий заражения. В результате устанавливалась усовершенствованная версия DarkWatchman, способная обходить традиционные антивирусные решения.

Исторические параллели инфраструктуры

Анализ домена alliance-s[.]ru выявил любопытную деталь: регистрационные данные совпадают с ранее использовавшимися доменами voenkomat-mil[.]ru и absolut-ooo[.]ru. Напомним, что в 2023 году с этих адресов распространялись фишинговые вложения:

Повторное использование инфраструктуры свидетельствует о консервативной тактике группировки. Хотя это упрощает обнаружение, эффективность атак остается высокой.

География и отраслевой охват

Атаки отличаются беспрецедентным размахом: в зону поражения попали компании из медиа, туризма и страхования. Одновременно хакеры атаковали производственные холдинги и ритейл-сети. Более того, под прицелом оказались телекоммуникационные операторы и транспортные логисты.

Тем временем, эксперты отмечают географическую экспансию группировки. Если изначально Hive0117 фокусировалась на России, то теперь их интерес распространился на Беларусь и Прибалтику. Казахстан также оказался в списке целей.

Особенности модифицированного вредоноса

DarkWatchman демонстрирует повышенную опасность благодаря способности уклоняться от детектирования. Модификации позволили ему обходить стандартные системы защиты. Следовательно, заражение происходит незаметно для большинства традиционных решений.

Многоэтапный сценарий активации усложняет анализ. Сначала архив распаковывается, затем запускаются скрытые скрипты. В финальной стадии вредонос внедряется в систему.

Повторяемость как стратегия

Hive0117 придерживается проверенных методов, что становится их отличительной чертой. Повторное использование доменов и шаблонов писем создает узнаваемый почерк. Несмотря на предсказуемость, группировка продолжает добиваться успеха.

Финансовая мотивация остается движущей силой атак. Следовательно, любая компания с денежными потоками может стать мишенью. Эксперты подчеркивают, что масштаб кампании указывает на тщательную подготовку.

Заключительные наблюдения

Активность Hive0117 продолжает нарастать, создавая новые вызовы для корпоративной безопасности. Модификация DarkWatchman подчеркивает эволюцию угрозы. В таких условиях мониторинг становится критически важным.

Текущая кампания подтверждает, что фишинг остается эффективным оружием. Сложные сценарии заражения требуют современных подходов к обнаружению. В итоге, инцидент демонстрирует необходимость постоянного анализа тактик киберпреступников.

IPv4

• 135.181.41.169
• 185.159.131.10
• 193.176.158.127
• 40.81.120.44
• 52.111.227.13
• 52.111.229.11
• 52.111.229.19
• 52.111.229.48
• 52.111.236.24
• 52.111.236.25
• 52.111.236.26
• 52.111.243.25
• 52.111.243.26
• 52.111.243.27
• 52.111.243.31
• 95.182.100.187
• 95.211.190.243

Domains

• 039eeff6.fun
• 039eeff6.online
• 039eeff6.site
• 09860e92.fun
• 09860e92.online
• 09860e92.site
• 19601cd9.fun
• 19601cd9.online
• 19601cd9.site
• 35e32b0f.fun
• 35e32b0f.online
• 35e32b0f.site
• 3a60dc39.fun
• 3a60dc39.online
• 3a60dc39.site
• 3d0d1820.fun
• 3d0d1820.online
• 3d0d1820.site
• 3d13c1f9.fun
• 3d13c1f9.online
• 3d13c1f9.site
• 4a0a28b6.fun
• 4a0a28b6.online
• 4a0a28b6.site
• 4ad74aab.biz.ua
• 4ad74aab.cfd
• 4ad74aab.fun
• 4ad74aab.sbs
• 4ad74aab.space
• 4ad74aab.xyz
• 4d67ecaf.fun
• 4d67ecaf.online
• 4d67ecaf.site
• 60df3369.fun
• 60df3369.online
• 60df3369.site
• 6f0454b9.fun
• 6f0454b9.online
• 6f0454b9.site
• 7737a33d.fun
• 7737a33d.online
• 7737a33d.site
• 7966f93f.fun
• 7966f93f.online
• 7966f93f.site
• 82334906.fun
• 82334906.online
• 82334906.site
• 8c78a7e8.fun
• 8c78a7e8.online
• 8c78a7e8.site
• 8f046b4c.fun
• 8f046b4c.online
• 8f046b4c.site
• 9243e231.cfd
• 9243e231.sbs
• 9243e231.xyz
• 950a5e96.fun
• 950a5e96.online
• 950a5e96.site
• a404499a.fun
• a404499a.online
• a404499a.site
• absolut-ooo.ru
• alliance-s.ru
• bc0324ae.biz.ua
• bc0324ae.cfd
• bc0324ae.fun
• bc0324ae.sbs
• bc0324ae.space
• bc0324ae.xyz
• bd12379b.fun
• bd12379b.online
• bd12379b.site
• c5971d03.fun
• c5971d03.online
• c5971d03.site
• d303790c.fun
• d303790c.online
• d303790c.site
• d61db2e5.fun
• d61db2e5.online
• d61db2e5.site
• d634555e.fun
• d634555e.online
• d634555e.site
• d7d7f722.fun
• d7d7f722.online
• d7d7f722.site
• dab53527.fun
• dab53527.online
• e353067e.fun
• e353067e.online
• e353067e.site
• eb074752.fun
• eb074752.online
• eb074752.site
• ebdbb64e.fun
• ebdbb64e.online
• ebdbb64e.site
• voenkomat-mil.ru

Emails

• [email protected]

MD5

• 33f5b851df378f64a26c7f7c65cf9017
• 52046d44d6e4dbf55ba03b0c177ac838
• 5553545c21225f33beeb2da8ffd0ce7c
• 5712568d781f9ba19a70e3c544268fe5
• 874c7112d5cb509ae3bfbf81acb031b7
• 896fd83eedf009c0e54cd36889d5d5fa
• 8be367b5521e30979f9a4ca3f5bb04fa
• 91e85f333ce0a8547f438c98f158e685

SHA

• 3830ee8981dd82d75669c21832967c7e815f25e0
• 393d139ed8f4470164cde8f5cf3e7a1bc8d5eb63
• 4050afb7bee0ab4a968a051f25878b8ad17693d7
• 4ec743e0e1fea35cdfc94ff347c92d95dd383bbe
• b0ea8fa4266ef5991bcef8e1391260eaa78e4915
• b8996b7ae9779c6d37d42250e39b7d04a0443c13
• b92212b045c9a311e5e3a900f1fbedf3cd25c47f
• c8d622ca3cef4d145d65a5a63ca325ec18706f8b

SHA256

• 0342c61ca349b5c5993283fd0a71c4fed8d11df10a7fad25c9bab10f8bb9fd68
• 052be205c6cc50400cfe933a12e69718de484004dad66bc8792aa68439373adc
• 072125077bc627cffb862473385c2e6c8b359dcf7ca314140d3d4f90a84436eb
• 07909a3534225ab0ba3d40b66e3a44a7092195495d7243ce7bf4a899a14775a5
• 36de1677dbfa7fd59f07fe7eb83f0777b580fa418b270867ef4085fa24c713a2
• 4b884ef88b610061f154fa7e98f49fe708f8a6646ca00a002e441af4033e7f98
• cc1fd0e91c60bc8ce24e934d0401faf851077b08554da4d60be59ecce4b71eef
• e35f82f85a608553483482ce7297d49de205f609961d8bf3511cb1a00bcad956