شرکتهای روسی هدف کمپین فیشینگ گستردهای قرار گرفتنهاند که به منظور توزیع بدافزار شناخته شده به نام DarkWatchman طراحی شده است.
بنابر گزارش شرکت امنیت سایبری روسی F6، این فعالیتها توسط گروهی با انگیزه مالی به نام Hive0117 انجام شده که به گفته IBM X-Force در حملاتی علیه صنایع انرژی، مالی، حمل و نقل و امنیت نرمافزار مستقر در روسیه، قزاقستان، لتونی و استونی نقش داشتهاند. این تروجان دسترسی از راه دور (RAT) مبتنی بر جاوا اسکریپت و با ماهیت بدون فایل، دارای توانایی ثبت کلیدها با کیلاگر نوشته شده به زبان #C، جمعآوری اطلاعات سیستمی، استقرار پیلودهای ثانویه و حذف ردپا در سیستمهای آلوده در صورت دریافت دستور است. آخرین مجموعه حملات شامل ارسال ایمیلهای فیشینگ حاوی آرشیوهای مخرب حفاظتشده با رمز عبور است که پس از باز شدن، نوعی از DarkWatchman را با قابلیتهای بهبود یافته برای جلوگیری از شناسایی ارائه میدهند. همزمان IBM X-Force اعلام کرد یک نهاد دفاعی اوکراین در سال ۲۰۲۴ با دربپشتی ویندوز جدید به نام Sheriff هدف قرار گرفته است. این دربپشتی ماژولار قادر به اجرای دستورات هدایتشده توسط نفوذگر، جمعآوری اسکرینشات و استخراج مخفیانه دادههای قربانی با استفاده از API ذخیرهسازی ابری Dropbox است. این دربپشتی همچنین مجهز به یک تابع «suicide» است که وقتی توسط اپراتور از راه دور فراخوانی میشود، تمام فعالیتها را متوقف کرده و دایرکتوری حاوی بدافزار و پوشهای را که در Dropbox برای ارتباطات C2 استفاده میشود، حذف میکند.
https://thehackernews.com/2025/05/darkwatchman-sheriff-malware-hit-russia.html
