Russische bedrijven zijn het doelwit geweest van een grootschalige phishing-campagne die is ontworpen om een bekende malware te leveren genaamd Darkwatchman.
Doelstellingen van de aanvallen zijn onder meer entiteiten in de media, toerisme, financiën en verzekeringen, productie, detailhandel, energie, telecom, transport en biotechnologie sectoren, zei het Russische cybersecuritybedrijf F6.
De activiteit wordt beoordeeld als het werk van een financieel gemotiveerde groep genaamd Hive0117, die door IBM X-Force is toegeschreven aan aanvallen gericht op gebruikers in Litouwen, Estland en Rusland die telecom-, elektronische en industriële sectoren overspannen.
In september 2023 werd de Darkwatchman Malware opnieuw gebruikt in een phishing -campagne gericht op energie-, financiële, transport- en softwarebeveiligingsindustrie in Rusland, Kazachstan, Letland en Estland.
Russische banken, retailers en marktplaatsen, telecomoperators, agro-industriële ondernemingen, brandstof- en energiebedrijven, logistieke bedrijven en IT-bedrijven werden opnieuw uitgekozen in november 2023 met Darkwatchman met behulp van koeriersleveringsthema.
Een op JavaScript gebaseerde externe toegang Trojan, Darkwatchman is in staat om keylogging, verzamelinformatie te verzamelen en secundaire payloads te implementeren. Het werd voor het eerst gedocumenteerd in december 2021.
“De fileless aard van de Darkwatchman -malware, en het gebruik van JavaScript en een keylogger geschreven in C#, evenals de mogelijkheid om sporen van zijn bestaan op gecompromitteerde systemen te verwijderen wanneer geïnstrueerd, zijn het bewijs van enigszins verfijnde mogelijkheden,” merkte IBM op in 2023.
De nieuwste set aanvallen omvat het verzenden van phishing-e-mails met wachtwoordbeveiligde kwaadaardige archieven die, eenmaal geopend, een variant van Darkwatchman leveren met verbeterde mogelijkheden om detectie te ontwijken.
Oekraïne het doelwit van de nieuwe sheriff -achterdeur
De openbaarmaking komt wanneer IBM X-Force zei dat een niet-gespecificeerde entiteit in de defensiesector in Oekraïne in de eerste helft van 2024 was gericht met een eerder zonder papieren ramen gebeld. Sheriff.
“The threat actor used a popular news portal in Ukraine, ukr.net, to host the Sheriff backdoor,” security researcher Golo Mühr said in a report published in late March 2025. “The modular backdoor can execute actor-directed commands, collect screenshots, and covertly exfiltrate victim data using the Dropbox cloud storage API.”
“De malware richt zich op het exfiltrerende gegevens en het maken van screenshots met behoud van een laag profiel dat is ontworpen voor langdurige compromissen.”
Er wordt vermoed dat de website mogelijk is overtreden om de malware begin maart 2024 te organiseren. Sheriff is uitgerust om meerdere componenten te downloaden en te beheren, waaronder een screenshot -module, met opdrachten en configuratiewaarden ontvangen als zip -bestandsreacties.
“De toegang van een dreigingsacteur tot het grootste nieuwsportaal van Oekraïne zou hen positioneren om een reeks hoge impactaanvallen uit te voeren en te werken met verbeterde verduistering,” zei Mühr. “Bij dit specifieke incident kan de dreigingsacteur het vertrouwde domein hebben misbruikt om malware te organiseren zonder vermoeden te verhogen.”
De achterdeur wordt ook uitgerust met een “zelfmoord” -functie die, wanneer het op afstand door de operator wordt aangeroepen, alle activiteiten stopt en de map verwijdert die de malware en de map bevat op Dropbox die wordt gebruikt voor command-and-control (C2) communicatie.
IBM wees erop dat bepaalde aspecten van de malware overlappen met die van Turla’s Kazuar en Crutch, evenals de Prikormka van Operation Groundbait en Cloudwizard van Bad Magic.
“Zowel CloudWizard als Sheriff bevatten een functie ‘gettps’ ‘https://thehackernews.com/’ get_settings ‘om de configuratie van elke module op te halen,” zei het bedrijf. “Cloudwizard, Prikormka en Sheriff delen dezelfde screenshot die intervallen van 15 minuten nemen. Cloudwizard en Prikormka’s bestandslijstmodules worden ’tree’ genoemd, wat de naam is die sheriff gebruikt voor exfiltratie van een lijst met bestanden.”
De ontdekking van de achterdeur volgt op een rapport van de staatsdienst van Oekraïne voor speciale communicatie- en informatiebescherming (SSSCIP), waarschuwing voor een toename van 48% in het aantal incidenten in de tweede helft van 2024 (2.576), vergeleken met de voorgaande periode van zes maanden (1.739).
In totaal werden 4.315 cyberincidenten geregistreerd in 2024, een stijging van 1.350 in 2021, 2.194 in 2022 en 2.543 in 2023. Het aantal kritische en hoge-ernstige incidenten, daalde aanzienlijk naar 59, een afname van 1.048 in 2022 en 367 in 2023.
“Russische hackers implementeren actief automatisering, maken gebruik van supply chain -aanvallen voor infiltratie via softwareleveranciers en het combineren van spionage- en sabotagetechnieken,” zei SSSCIP. “De primaire focus van aanvallen is de verzameling van intelligentie die de operationele situatie aan de voorkant zou kunnen beïnvloeden. In het bijzonder is de tegenstander gericht op situationele bewustmakingssystemen en gespecialiseerde defensiebedrijven.”
