По Новости 0 комментариев

В марте 2026 года кибергруппа Watch Wolf предприняла попытку распространения троянской программы DarkWatchman через фишинговую кампанию, выдавая себя за сотрудников логистической компании. Об этом сообщили представители компании Bi.Zone. Специалисты Bi.Zone Mail Security зафиксировали активность фишинга, в ходе которой злоумышленники разослали свыше тысячи писем сотрудникам финансовых и государственных организаций России. Вредоносное ПО DarkWatchman, используемое в атаке, представляет собой троян удаленного доступа с расширенными функциями. По данным Bi.Zone Threat Intelligence, за этой атакой стоит кибергруппировка Watch Wolf. Первая волна фишинговой рассылки была выявлена и заблокирована 13 марта 2026 года. Письма отправлялись с скомпрометированного почтового адреса и содержали тему «Счет на оплату», а также вложения, имитирующие финансовые документы. Атакующие представлялись сотрудниками бухгалтерии логистической компании.

18 марта 2026 года были заблокированы несколько новых рассылок. В одной из них злоумышленники выдавали себя за специалистов по организации транспортировок в промышленном секторе. Письма с темой «Счет» также содержали вложения, замаскированные под финансовые документы. В этот раз злоумышленники использовали более типичный сценарий, сообщая о завершении бесплатного хранения груза и требуя срочных действий. Все атаки основывались на приемах социальной инженерии, таких как давление, срочность и угрозы негативными последствиями. В письмах утверждалось, что если получатель не отреагирует в тот же день, груз будет возвращен. К письмам прикреплялись архивы с исполняемыми файлами, которые при запуске разворачивали вредоносную нагрузку, включая троян DarkWatchman и кейлоггер для скрытого перехвата данных пользователя.

Вредоносная программа закрепляется в системе, устанавливает связь с управляющим сервером и ожидает дальнейших команд. Это позволяет злоумышленникам удаленно контролировать скомпрометированное устройство и отслеживать активность пользователя. Дмитрий Царев, руководитель управления облачных решений кибербезопасности Bi.Zone, отметил, что для защиты от таких атак организациям необходимо выстраивать комплексную защиту. Он рекомендовал проводить регулярное обучение сотрудников по распознаванию фишинга, обращать внимание на давление и срочность в письмах, проверять адреса отправителей и домены, а также соблюдать осторожность при работе с вложениями. На уровне ИT-инфраструктуры следует использовать средства фильтрации почты и обнаружения угроз, а на конечных устройствах — многоуровневую защиту, включая антивирус и системы обнаружения и реагирования (EDR).

Watch Wolf — это финансово мотивированная группа, занимающаяся компрометацией систем для получения доступа к онлайн-банкингу и кражи денежных средств. Она использует фишинговые письма и веб-сайты для распространения вредоносного ПО, привлекая жертв через отравление поисковой выдачи. Группа связана с другой финансово мотивированной группой — Buhtrap. Ранее эксперты Bi.Zone Threat Intelligence фиксировали кампанию Watch Wolf, направленную на компрометацию рабочих станций бухгалтеров в российских организациях с целью вывода денежных средств через онлайн-банкинг. Злоумышленники применяли метод отравления поисковой выдачи (SEO poisoning), добавляя ключевые слова на сайты с ВПО, чтобы они попадали на первую страницу поисковой выдачи. Для защиты от кибератак важно знать методы и инструменты злоумышленников, а также использовать информацию, предоставляемую порталами киберразведки.

Источник

Написать комментарий