Кластер Watch Wolf вновь атакует российские компании

Watch Wolf пытался распространить троян DarkWatchman через фишинговую рассылку, представляясь сотрудниками логистической компании

7 апреля 2026 г.

В марте 2026 года команда BI.ZONE Mail Security зафиксировала фишинговую активность. Злоумышленники разослали более тысячи писем сотрудникам финансовых и государственных учреждений России. Атакующие использовали вредоносное ПО DarkWatchman — троян удаленного доступа с расширенной функциональностью. По данным портала киберразведки BI.ZONE Threat Intelligence, за этим стоит кластер Watch Wolf.

13 марта мы выявили и заблокировали первую волну рассылки. Письма отправлялись со скомпрометированного почтового адреса с темой «Счет на оплату» и вложениями, которые имитировали финансовые документы. Злоумышленники представлялись сотрудниками бухгалтерии из логистической компании.

18 марта мы заблокировали сразу несколько новых рассылок. В одной из них атакующие выдавали себя за специалистов по организации перевозок в промышленном секторе. В письмах злоумышленников с темой «Счет» также были вложения, замаскированные под финансовые документы. В этот раз атакующие использовали более типичный сценарий: распространяли уведомление, что срок бесплатного хранения груза закончился, и призывали к срочным действиям.

Во всех случаях сценарий атаки строился на типичных приемах социальной инженерии: давлении, срочности и угрозах негативными последствиями. В письмах злоумышленники утверждали, что, если жертва не отреагирует на письмо в тот же день, груз будет возвращен.

К письмам прикреплялись самораспаковывающиеся архивы, которые разворачивают вредоносную нагрузку при их запуске. В частности, запускался троян удаленного доступа DarkWatchman, а еще дополнительный модуль — кейлоггер, предназначенный для скрытого перехвата вводимых пользователем данных, включая логины и пароли.

Вредоносная программа работает следующим образом: при успешном выполнении она скрытно закрепляется в системе, устанавливает соединение с управляющим сервером и ожидает дальнейших команд от злоумышленников. Впоследствии атакующие получают возможность удаленно контролировать скомпрометированный хост, отслеживать активность пользователя и похищать конфиденциальные данные.

Чтобы противостоять подобным атакам, организациям необходимо выстраивать комплексную защиту. Рекомендуем проводить регулярное обучение сотрудников по распознаванию фишинга. Так, нужно обращать внимание на давление, срочность и подозрительные формулировки в письмах. Даже если сообщение выглядит убедительно, следует внимательно проверять адрес отправителя и домен. Также важно соблюдать осторожность при работе с вложениями: файлы из непроверенных источников, особенно архивы и исполняемые программы, увеличивают риски.

На уровне IT‑инфраструктуры необходимо использовать средства фильтрации почты и обнаружения угроз на периметре, включая анализ вложений и ссылок до их доставки пользователю. На конечных устройствах должна быть реализована многоуровневая защита. Для этого нужно использовать антивирус, а также внедрить системы обнаружения и реагирования (EDR). Они позволяют выявлять более сложную вредоносную активность, например попытки закрепиться в системе, установку связи с инфраструктурой или аномальное поведение процессов.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности

Watch Wolf — финансово мотивированная группа, которая компрометирует системы в целях получения доступа к онлайн‑банкингу и кражи денежных средств. Использует фишинговые письма, а также созданные для распространения вредоносного программного обеспечения сайты, на которые привлекает жертв через отравление поисковой выдачи. Связана с другой финансово мотивированной группой — Buhtrap.

Ранее эксперты BI.ZONE Threat Intelligence фиксировали кампанию группы Watch Wolf, нацеленную на компрометацию рабочих станций бухгалтеров в российских организациях. Целью атаки был вывод денежных средств через онлайн‑банкинг. Злоумышленники прибегали к отравлению поисковой выдачи (SEO poisoning). Этот метод реализуется через добавление на сайты, распространяющие ВПО, ключевых слов, позволяющих им попадать на первую страницу поисковой выдачи при определенных запросах.

Чтобы защитить организацию от кибератак, важно знать, какие методы и инструменты применяют злоумышленники, в том числе и то, как они используют в своих кампаниях актуальную повестку. Подробную информацию об этом предоставляют порталы киберразведки, например BI.ZONE Threat Intelligence. Здесь пользователи могут найти свежие и подробные данные об актуальных угрозах, злоумышленниках, их тактиках, техниках, инструментах и эксплуатируемых уязвимостях.