В первом квартале 2026 года специалисты по киберразведке зафиксировали резкий рост активности одной из наиболее настойчивых киберпреступных групп Hive0117, известной также под псевдонимами Watch Wolf, Ratopak Spider и UAC-0008. Группировка, работающая с 2022 года и нацеленная преимущественно на организации в России, странах Балтии, Украине и США, в этом году сосредоточилась на бухгалтериях российских компаний. Если январь прошёл без единого зафиксированного образца вредоносного кода Hive0117, то уже в начале февраля появились первые атаки, а пик пришёлся на середину марта. Всего за три месяца специалисты насчитали 117 уникальных образцов - и это только те, что были обнаружены. Что стоит за таким всплеском и почему бухгалтеры оказались в зоне особого риска?
Описание
Главный инструмент нынешней кампании - вредоносная программа DarkWatchman. Это не обычный вирус, а сложное многокомпонентное средство, которое объединяет клавиатурный шпион (кейлоггер) и скрипты для скрытого управления заражённым компьютером. Злоумышленники из Hive0117, судя по данным киберразведки, использовали тактику массовых фишинговых рассылок. Они отправляли электронные письма с якобы финансовыми документами: счетами на оплату, актами сверки, накладными. Темы писем были максимально правдоподобными - "Задолженность по оплате", "Счет на оплату", "Акт сверки". Получателями становились конкретные сотрудники финансовых департаментов, а сами рассылки проводились с предположительно скомпрометированных почтовых ящиков. Это значит, что жертва получала письмо от знакомого адресата, что повышало доверие.
Техническая сторона атаки продумана до мелочей. Вредоносный файл упаковывался в RAR-архив, защищённый паролем. Пароль злоумышленники писали прямо в теле письма. Такой приём позволяет обойти фильтры почтовых сервисов и первые линии антивирусной защиты: многие решения не сканируют архивы с паролем, а пользователь сам распаковывает содержимое. Внутри архива находился исполняемый файл, название которого повторяло тему письма - например, "Счет_на_оплату.rar". При запуске этого файла срабатывала цепочка, описанная аналитиками Positive Technologies в их квартальном отчёте об угрозах. Сначала SCR-файл - это обычная экранная заставка Windows, которая на самом деле является исполняемым кодом - распаковывал PowerShell-кейлоггер и вредоносный скрипт на JavaScript. Затем через системную утилиту wscript.exe запускался JavaScript. Чтобы не вызвать подозрений, перед пользователем появлялось окно с правдоподобной ошибкой. В это время вредоносный скрипт уже работал в фоновом режиме.
Для закрепления в системе скрипт сразу создавал задачу в планировщике заданий Windows и прописывал служебные параметры в реестре. Кроме того, он добавлял себя в список исключений Microsoft Defender, чтобы антивирус не реагировал на его активность. Если у пользователя были права администратора, злоумышленники очищали точки восстановления системы - с ними жертва не смогла бы откатить компьютер к предыдущему состоянию. Сама управляющая инфраструктура построена хитро: агент сначала перебирает жёстко заданный список стартовых доменов и кэширует рабочий в реестре. Если кэш недоступен, включается механизм генерации доменов (DGA) - алгоритм, автоматически создающий множество адресов для связи с сервером управления. Из этого пула вредонос выбирает валидные C2-сервера (серверы, через которые злоумышленники отдают команды). Кейлоггер же хранится в реестре в XOR-кодировке, а запускается тихим PowerShell-процессом в скрытом режиме. Собранные нажатия клавиш уходят на сервер управления в виде Base64-строки.
Последствия таких атак для бизнеса могут быть критическими. Кейлоггер позволяет перехватывать пароли от банковских систем, корпоративных порталов, бухгалтерских программ и электронной почты. Комбинация с инструментом DarkWatchman даёт возможность удалённо выполнять команды, загружать дополнительные модули и, если потребуется, установить программы-вымогатели. Учитывая, что жертвами стали финансовые отделы компаний из самых разных отраслей - от логистики и строительства до телекоммуникаций и энергетики, - потери могут измеряться миллионами рублей. Группировка Hive0117 действует без привязки к одной стране: её жертвами ранее становились правительственные структуры, финансовый сектор и розничная торговля по всему миру.
Для специалистов по информационной безопасности эта кампания - ещё одно напоминание о важности многофакторной аутентификации, регулярного обучения сотрудников фишингу и своевременного обновления правил почтовой фильтрации. Особое внимание стоит уделить бухгалтерам и финансистам: именно они получают наибольшее количество внешних писем с вложениями, и именно их учётные записи чаще всего становятся целью. Впрочем, одними техническими мерами проблему не решить: злоумышленники постоянно адаптируют свои методы, и главный барьер - это человеческая бдительность.
Индикаторы компрометации
IPv4
- 193.149.129.218
- 199.217.99.119
MD5
- c85a5f77961989b58038475060bae922
- fa60fcfec081d43e7f16fdc0e63daba6