Финансово мотивированная группа Hive0117 продолжает атаковать бухгалтеров компаний в России и странах СНГ. Схема выглядит так: письмо с темой про счет, акт сверки или накладную, внутри — архив с паролем, в архиве — вредоносный файл. После запуска на компьютер попадает DarkWatchman, а дальше злоумышленники ждут момента, когда бухгалтер подключит криптографический токен и откроет систему дистанционного банковского обслуживания.
Xakep со ссылкой на F6 пишет, что с начала 2026 года группа провела около 400 успешных атак на российские организации. Средний ущерб, по оценке исследователей, вырос с 3 млн до 10 млн рублей. В более ранней публикации F6 указывала, что в феврале–марте вредоносные письма ушли более чем в 3000 российских организаций, а максимальная сумма похищенного в одной успешной атаке превысила 14 млн рублей.
Hive0117 работает не первый год. В открытых описаниях группа фигурирует как финансово мотивированная и связанная с рассылками DarkWatchman. IBM X-Force ещё в 2022 году описывала кампании Hive0117 в Восточной Европе: фишинговые письма доставляли бесфайловый вредоносный код, который собирал сведения о системе и давал оператору удалённый доступ. В карточке Malpedia у группы также указаны фишинг, DarkWatchman, кейлоггинг и сбор системной информации.
Вложение в новой кампании обычно приходит в RAR-архиве с паролем. Пароль лежит прямо в тексте письма. Для пользователя это выглядит как дополнительная “защита документа”. Для атакующих это способ снизить шанс обнаружения: почтовые фильтры и антивирусные движки хуже проверяют содержимое запароленных архивов, особенно если письмо не содержит явного вредоносного кода в теле.
После запуска файла устанавливается DarkWatchman. Это троян удалённого доступа, который известен бесфайловыми техниками. Такой код старается меньше оставлять следов на диске и больше жить в памяти, реестре и скриптовой логике. В результате защитники получают меньше артефактов, а значит увеличиваются шансы пропустить заражение при поверхностной проверке.
В свежей волне DarkWatchman загружает модуль кейлоггера. Он перехватывает нажатия клавиш, следит за буфером обмена и отслеживает подключение криптографического токена. Дальше в ход идут инструменты удалённого доступа. Исследователи указывают LiteManager, BitRAT и вредоносные компоненты с функцией hVNC. hVNC — это скрытый виртуальный рабочий стол. Оператор атаки может работать с системой так, чтобы пользователь не видел курсор, окна и действия на основном экране.
Главное изменение кампании — способ вывода денег. Раньше в таких атаках часто использовали прямые переводы на счета дропов. Это заметнее: необычный получатель, странная сумма, нетипичное назначение платежа. Hive0117 стала оформлять операции через зарплатные реестры. Внешне это похоже на обычную выплату зарплаты сотрудникам. Но внутри реестра указаны счета дропов.
Для антифрода это сложный сценарий. Зарплатные выплаты для компании могут быть регулярными и крупными. Если банк не проверяет состав реестра, новые реквизиты, поведение устройства, признаки удалённого доступа и отклонения от обычной зарплатной модели, операция может пройти как штатная. Деньги уходят не одним подозрительным переводом, а через стандартный рабочий документ.
География тоже расширяется. В публикации Xakep указаны российские организации, а также отдельные жертвы в Беларуси, Казахстане и Узбекистане. Среди целей — телеком, промышленность, торговля, интернет-магазины, химическая отрасль и производство напитков. Ранее в открытых материалах Hive0117 связывали с атаками на медиа, туризм, финансы, страхование, производство, ретейл, энергетику, транспорт и телеком.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
