Nuova ondata di email dannose associate al gruppo Hive0117

F6 ha segnalato una nuova ondata di email dannose associate al gruppo Hive0117.

Hive0117 è attivo da febbraio 2022 e utilizza il trojan RAT DarkWatchman. Il gruppo maschera le sue campagne come messaggi provenienti da organizzazioni legittime, registra infrastrutture di posta e domini di controllo e talvolta li riutilizza.

Secondo F6, l’attività di DarkWatchman è stata rilevata il 24 settembre, dopo diversi mesi di silenzio.

Gli attacchi sono stati effettuati sotto le mentite spoglie del Federal Bailiff Service dall’indirizzo mail@fssp[.]buzz. Invii simili sono stati osservati a giugno e luglio. L’analisi ha rivelato i domini 4ad74aab[.]cfd e 4ad74aab[.]xyz.

Gli attacchi hanno preso di mira aziende in Russia e Kazakistan. L’elenco dei 51 obiettivi includeva banche, operatori di telecomunicazioni, marketplace, aziende di logistica e produzione, concessionarie di automobili, imprese edili, rivenditori al dettaglio, compagnie assicurative e di investimento, aziende di carburante ed energia, aziende farmaceutiche, istituti di ricerca, un parco tecnologico, un operatore di gestione dei rifiuti solidi urbani, nonché servizi nei settori del turismo, del fitness e dell’IT.

DarkWatchman è stato distribuito anche tramite mailing camuffati da archivio apparentemente del Ministero della Difesa e false citazioni in giudizio.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.