Медовый капкан: исследуем атаки группировки Hive0117 на бухгалтеров компаний в России и странах СНГ
EditorF6 12 минут назад Медовый капкан: исследуем атаки группировки Hive0117 на бухгалтеров компаний в России и странах СНГ Средний 21 мин 134 Блог компании F6 Информационная безопасность * В 2026 году специалисты...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Значимый прорыв формирует отрасль ИИ: EditorF6 12 минут назад Медовый капкан: исследуем атаки группировки Hive0117 на бухгалтеров компаний в России и странах СНГ Средний 21 мин 134 Блог компании F6 Информационная безопасность * В 2026 году специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 зафиксировали новую волну атак финансово мотивированной группы Hive0117, нацеленных на юридические лица. Злоумышленники заражают устройства бухгалтеров, получают доступ к системам дистанционного банковского обслуживания (ДБО) и выводят деньги на счета дропов, в том числе под видом перечисления зарплаты. Группировка Hive0117 действует с конца 2021 года.
Примечательна использованием бесфайлового вредоносного ПО DarkWatchman. Нацелена на финансовые отделы организаций из различных отраслей. Помимо России, среди целей в том числе замечены пользователи из Беларуси, Узбекистана и Казахстана.
Технические детали
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Для группировки характерны периодические простои продолжительностью до нескольких месяцев, за которыми следуют всплески масштабной активности. В 2026 году злоумышленники проводили рассылки, ориентированные на бухгалтеров, в адрес более 3000 российских компаний из разных отраслей.
Пик рассылок пришёлся на февраль-март, после чего их количество пошло на спад и сократилось в десятки раз. Вредоносные рассылки клиентам компании F6 были успешно заблокированы системой защиты корпоративной почты F6 Business Email Protection (F6 BEP). Кроме того, по данным департамента киберразведки (Threat Intelligence) компании F6, среди получателей рассылок группы Hive0117 оказались организации из СНГ, включая как минимум 6 компаний в Беларуси (из сфер телекома, промышленности, торговли и других), 3 – в Казахстане (интернет-магазины и предприятие химической промышленности) и 1 – в Узбекистане (производитель напитков).
Злоумышленники использовали, например, такие темы для писем, как: «Документы от <дата>», «Уведомление об окончании срока бесплатного хранения», «Счет на оплату», «накладная», «Акт сверки», «счет», «Fwd: Fwd: Документы от <дата>», «Задолженность по оплате», «Счет на оплату СРТ-008. 7z», «накладная от <дата>». Во всех случаях в этих письмах доставляли вредоносное ПО DarkWatchman.
Вредоносный файл скрывался в RAR-архивах под видом счетов на оплату, актов сверок, накладных и других документов. Пароли к этим архивам были указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
