29 апреля специалисты Threat Intelligence компании F6 отследили активность группировки Hive0117, которая провела масштабную фишинговую атаку, ориентированную на российские компании. Целевые отрасли: медиа, туризм, финансы и страхование, производство, ритейл, энергетика, телеком, транспорт, биотехнологии.
Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Цели были выявлены в России, Беларуси, Литве, Эстонии, Казахстане.
Рис.1. Скрин вредоносного письма, которое группы Hive0117 направляла атакуемым организациям
Система F6 Managed XDR зафиксировала и заблокировала массовую рассылку писем с темой «Документы от 29.04.2025», отправленных с адреса manager@alliance-s[.]ru на 550+ адресов (рис. 1). Внутри было вложение в виде защищенного паролем архива, распространяемого под именами:
«Док-ты от 29.04.2025.rar» (MD5: 8be367b5521e30979f9a4ca3f5bb04fa);
«Документы от 29.04.2025.rar» (MD5: 91e85f333ce0a8547f438c98f158e685);
«Документация от 29.04.2025.rar» (MD5: 52046d44d6e4dbf55ba03b0c177ac838).
Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией ВПО DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты.
Рис. 2. Графовый анализ атаки
Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные (рис. 2), что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году. Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена absolut-ooo[.]ru — «Акт сверки №114-23 от 29.09.2023[.]zip».
Повторное использование регистрационных данных и C2 доменов свидетельствует о приверженности группировки к использованию привычных инфраструктур и инструментов.
Файловые индикаторы
Акт сверки №114-23 от 29.09.2023.zip MD5: 874c7112d5cb509ae3bfbf81acb031b7 SHA1: 3830ee8981dd82d75669c21832967c7e815f25e0 SHA256: 07909a3534225ab0ba3d40b66e3a44a7092195495d7243ce7bf4a899a14775a5
386041120.js MD5: 33f5b851df378f64a26c7f7c65cf9017 SHA1: 4ec743e0e1fea35cdfc94ff347c92d95dd383bbe SHA256: cc1fd0e91c60bc8ce24e934d0401faf851077b08554da4d60be59ecce4b71eef
Мобилизационное предписание №5010421409-ВВК от 10.05.2023.exe MD5: 5712568d781f9ba19a70e3c544268fe5 SHA1: c8d622ca3cef4d145d65a5a63ca325ec18706f8b SHA256: 052be205c6cc50400cfe933a12e69718de484004dad66bc8792aa68439373adc
Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip MD5: 5553545c21225f33beeb2da8ffd0ce7c SHA1: b0ea8fa4266ef5991bcef8e1391260eaa78e4915 SHA256: e35f82f85a608553483482ce7297d49de205f609961d8bf3511cb1a00bcad956
Док-ты от 29.04.2025.rar MD5: 8be367b5521e30979f9a4ca3f5bb04fa SHA1: 393d139ed8f4470164cde8f5cf3e7a1bc8d5eb63 SHA256: 36de1677dbfa7fd59f07fe7eb83f0777b580fa418b270867ef4085fa24c713a2
Документы от 29.04.2025.rar MD5: 91e85f333ce0a8547f438c98f158e685 SHA1: b8996b7ae9779c6d37d42250e39b7d04a0443c13 SHA256: 4b884ef88b610061f154fa7e98f49fe708f8a6646ca00a002e441af4033e7f98
Акт сверки №114-23 от 29.09.2023.exe MD5: 896fd83eedf009c0e54cd36889d5d5fa SHA1: b92212b045c9a311e5e3a900f1fbedf3cd25c47f SHA256: 0342c61ca349b5c5993283fd0a71c4fed8d11df10a7fad25c9bab10f8bb9fd68
Документация от 29.04.2025.rar MD5: 52046d44d6e4dbf55ba03b0c177ac838 SHA1: 4050afb7bee0ab4a968a051f25878b8ad17693d7 SHA256: 072125077bc627cffb862473385c2e6c8b359dcf7ca314140d3d4f90a84436eb
Сетевые индикаторы
039eeff6[.]fun
039eeff6[.]online
039eeff6[.]site
09860e92[.]fun
09860e92[.]online
09860e92[.]site
19601cd9[.]fun
19601cd9[.]online
19601cd9[.]site
35e32b0f[.]fun
35e32b0f[.]online
35e32b0f[.]site
3a60dc39[.]fun
3a60dc39[.]online
3a60dc39[.]site
3d0d1820[.]fun
3d0d1820[.]online
3d0d1820[.]site
3d13c1f9[.]fun
3d13c1f9[.]online
3d13c1f9[.]site
4a0a28b6[.]fun
4a0a28b6[.]online
4a0a28b6[.]site
4ad74aab[.]biz[.]ua
4ad74aab[.]cfd
4ad74aab[.]fun
4ad74aab[.]sbs
4ad74aab[.]space
4ad74aab[.]xyz
4d67ecaf[.]fun
4d67ecaf[.]online
4d67ecaf[.]site
60df3369[.]fun
60df3369[.]online
60df3369[.]site
6f0454b9[.]fun
6f0454b9[.]online
6f0454b9[.]site
7737a33d[.]fun
7737a33d[.]online
7737a33d[.]site
7966f93f[.]fun
7966f93f[.]online
7966f93f[.]site
82334906[.]fun
82334906[.]online
82334906[.]site
8c78a7e8[.]fun
8c78a7e8[.]online
8c78a7e8[.]site
8f046b4c[.]fun
8f046b4c[.]online
8f046b4c[.]site
9243e231[.]cfd
9243e231[.]sbs
9243e231[.]xyz
950a5e96[.]fun
950a5e96[.]online
950a5e96[.]site
a404499a[.]fun
a404499a[.]online
a404499a[.]site
absolut-ooo[.]ru
alliance-s[.]ru
bc0324ae[.]biz[.]ua
bc0324ae[.]cfd
bc0324ae[.]fun
bc0324ae[.]sbs
bc0324ae[.]space
bc0324ae[.]xyz
bd12379b[.]fun
bd12379b[.]online
bd12379b[.]site
c5971d03[.]fun
c5971d03[.]online
c5971d03[.]site
d303790c[.]fun
d303790c[.]online
d303790c[.]site
d61db2e5[.]fun
d61db2e5[.]online
d61db2e5[.]site
d634555e[.]fun
d634555e[.]online
d634555e[.]site
d7d7f722[.]fun
d7d7f722[.]online
d7d7f722[.]site
dab53527[.]fun
dab53527[.]online
e353067e[.]fun
e353067e[.]online
e353067e[.]site
eb074752[.]fun
eb074752[.]online
eb074752[.]site
ebdbb64e[.]fun
ebdbb64e[.]online
ebdbb64e[.]site
voenkomat-mil[.]ru
135.181.41[.]169
185.159.131[.]10
193.176.158[.]127
40.81.120[.]44
52.111.227[.]13
52.111.229[.]11
52.111.229[.]19
52.111.229[.]48
52.111.236[.]24
52.111.236[.]25
52.111.236[.]26
52.111.243[.]25
52.111.243[.]26
52.111.243[.]27
52.111.243[.]31
95.182.100[.]187
95.211.190[.]243
Источник: habr.com
