今週発表されたレポートによると、サイバー犯罪者は会計士のコンピュータをハッキングし、転送を給与支払いに見せかけることで、ロシア企業から数百万ドルを盗んでいます。
ロシアのサイバーセキュリティ企業F6の研究者は、利益動機の集団Hive0117が2026年2月から3月にかけて企業財務部門を標的とした一連の攻撃を実行したと述べています。
攻撃者はフィッシングメールを使用して会計士のコンピュータにマルウェアを感染させ、企業の支払い管理に使用されるリモートバンキングシステムへのアクセスを可能にしました。
システム内に入ると、ハッカーは正当な給与転送に見える支払い命令を作成しましたが、実際には資金を彼ら自身が管理するアカウントに転送していました。
研究者によると、3,000以上のロシア企業が悪意のあるメールを受け取りました。確認された最大の盗難は1,400万ルーブル(約$178,000)を超えました。
レポートによると、攻撃者は会計または財務部門で働く従業員に対してフィッシングメールを慎重に作成しました。
メールは正当に見えるが、おそらく侵害されたアカウントから送信され、モスクワに拠点を置くWebおよびモバイルアプリケーション開発者のアカウントも含まれていました。添付ファイルは、請求書、調整ステートメント、配送書類などのルーチンなビジネス文書に見せかけたパスワード保護されたアーカイブで梱包されていました。
被害者がアーカイブを開き、内部の隠しファイルを実行すると、彼らのコンピュータはDarkWatchmanに感染しました。DarkWatchmanは、攻撃者が侵害されたシステムの秘密の制御を維持できるリモートアクセストロイの木馬です。
研究者によると、DarkWatchmanは攻撃者にコマンドをリモートで実行し、追加の悪意のあるツールをダウンロードし、企業ネットワーク全体を水平に移動する能力を与えます。マルウェアは少なくとも2021年からHive0117に関連付けられており、通常はフィッシングキャンペーンを通じて配布されます。
会計士のマシンを制御することで、攻撃者は企業のオンラインバンキングポータルにログインし、侵害されたシステムから直接取引を開始することができ、活動を正当に見せることができました。
最近のキャンペーンでは、ハッカーはレジストリに保存されている銀行口座に関連付けられた支払い命令を作成して給与支払いメカニズムを利用しました。その口座は従業員のものに見えますが、実際には攻撃者によって制御されていました。
レポートによると、これらの転送が銀行の不正防止管理をクリアした場合、犯罪者は企業アカウントから大量の資金を引き出すことができました。
Hive0117は2021年後半から活動しており、複数の業界の金融部門を主に標的としています。F6によると、最近の攻撃はロシア企業に焦点を当てていますが、以前の活動はリトアニア、エストニア、ベラルーシ、カザフスタンのユーザーも標的にしていました。
研究者は以前、このグループの操作はロシアとウクライナ間のより広いサイバー紛争に関連していないようであり、攻撃者の出所は不明のままであると述べていました。
最新のキャンペーンは、昨年F6によって報告された以前の活動に続くもので、グループは修正版のDarkWatchmanを使用して複数のセクターのロシア企業を標的にしていました。
2023年に、西洋の研究者もHive0117が軍事徴兵通知に偽装したフィッシングメール内でロシア政府の通信になりすましているのを観察しました。これは同じマルウェアを展開した別のキャンペーンです。
翻訳元: https://therecord.media/cybercriminals-hack-russian-accountants-to-steal-millions
