Новую кибератаку c использованием трояна DarkWatchman RAT зафиксировал Центр кибербезопасности F.A.C.C.T. Киберпреступники создали фейковый сайт, стилизованный под бренд компании "КриптоПро", российского разработчика средств криптографической защиты.
Под видом криптографической утилиты для создания электронной подписи злоумышленники разместили на ресурсе архив с трояном DarkWatchman RAT.
DarkWatchman RAT — это троян удаленного доступа, написанный на JavaScript. Используется для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети. DarkWatchman был замечен в кампаниях финансово-мотивированной группы Hive0117, созданной в феврале 2022 года. Троян использовался в качестве разведывательного инструмента на первоначальной стадии атаки.
Преступники активно продвигали свой сайт в поисковиках, чтобы он появлялся в топе поисковой выдачи. При этом доменное имя фишинговой страницы никак не напоминало "КриптоПро".
Поскольку без средств криптографической защиты нельзя использовать электронную цифровую подпись, софт на основе СКЗИ (криптографических технологий) востребован практически у всех ведущих частных компаний и госорганизаций. Атакующие, вероятно, пытались скомпрометировать компьютеры тех сотрудников, которые искали утилиту для сдачи налоговой отчётности и работы с ДБО — дистанционное банковское обслуживание.
Угроза была нейтрализована решением F.A.C.C.T. Managed XDR. Команда CERT-F.A.C.C.T. предупредила компанию "КриптоПро" об атаке и начала процесс блокировки фишингового ресурса.
Повестки и тендеры от DarkWatchman
В этом году киберпреступники довольно активно распространяют DarkWatchman RAT – в мае этот троян рассылали по российским компаниям под видом лже-повесток от военных комиссариатов. Масштабная — более 600 писем — рассылка была также полностью остановлена.
В июля — новая рассылка под видом информации о выигранном тендере на заключение договора ОСАГО для Минобороны. Под видом зашифрованного архива злоумышленники распространяли DarkWatchman RAT.
Используя систему графового анализа F.A.C.C.T. Threat Intelligence Graph, можно отследить, какая именно сетевая инфраструктура была задействована под конкретную атаку, и какие кампании с ее помощью проводились раньше.
Чтобы быть в курсе всех актуальных новостей по информационной безопасности, обязательно подпишитесь на наш канал "Кибербез по фактам". Мы знаем о киберпреступности всё. Рассказываем самое интересное.