最近の報告によると、サイバー犯罪者は会計士のコンピューターを標的とし、不正送金を正規の給与支払いとして偽装することで、ロシア企業から数百万ルーブルを盗むことに成功しました。 ### Hive0117による数百万ルーブルの強奪 ロシアのサイバーセキュリティ企業「F6」の研究者によると、金銭目的のグループ「Hive0117」は、2026年2月から3月にかけて一連の攻撃を実行し、特に企業の財務部門を標的にしました。このキャンペーンでは、3,000以上のロシア組織が標的となりました。 ### フィッシングメールとマルウェア感染 攻撃者は、巧妙に作成されたフィッシングメールを送信してキャンペーンを開始し、会計士のコンピューターにマルウェアを感染させ、企業のバンキングシステムへの不正アクセスを可能にしました。確認された最大の窃盗額は、1,400万ルーブル（約178,000ドル）を超えました。 フィッシングメールは正規のものであるかのように設計されており、モスクワを拠点とするWebおよびモバイルアプリケーション開発者のアカウントを含む、侵害されたアカウントから送信されることがよくありました。これらのメールには、請求書や出荷書類などの日常的なビジネス文書を装った、パスワードで保護されたアーカイブが含まれていました。 ### DarkWatchman RAT アーカイブを開いて隠されたファイルを実行すると、被害者のコンピューターが「DarkWatchman」というリモートアクセス型トロイの木馬（RAT）に感染しました。このRATにより、攻撃者は侵害されたシステムを秘密裏に制御し続けることができました。「DarkWatchman」は、リモートコマンド実行、追加の悪意のあるツールのダウンロード、および企業ネットワーク全体でのラテラルムーブメントを可能にします。このマルウェアは、少なくとも2021年から「Hive0117」と関連付けられており、フィッシングキャンペーンを通じて一般的に配布されています。 ### 給与計算メカニズムの悪用 会計士のコンピューターを制御することで、攻撃者は企業のオンラインバンキングポータルにログインし、侵害されたシステムから直接取引を開始することができ、活動が正規のものであるかのように見せかけました。ハッカーは、攻撃者が管理する銀行口座に紐付けられた支払い注文を作成することで、給与計算メカニズムを悪用しました。これらの口座は、従業員のものであるかのように見えましたが、実際には攻撃者が管理していました。 これらの送金が銀行の不正防止管理を回避した場合、犯罪者は企業の口座から多額の資金を引き出すことができました。 ### Hive0117の履歴と範囲 「Hive0117」は2021年後半から活動しており、主にさまざまな業界の財務部門を標的にしてきました。「F6」によると、最近の攻撃はロシアの組織に焦点を当てていましたが、過去の活動ではリトアニア、エストニア、ベラルーシ、カザフスタンのユーザーも標的にされていました。 研究者たちは以前から、このグループの活動はロシアとウクライナ間の広範なサイバー紛争とは関連がないように見え、攻撃者の起源は不明であると指摘しています。このキャンペーンは、「F6」が昨年報告した以前の活動に続くもので、その際、このグループは「DarkWatchman」の改変バージョンを使用して、複数のセクターにわたるロシア企業を標的にしました。2023年には、西側の研究者が「Hive0117」がロシア政府の通信を偽装し、徴兵通知を装ったフィッシングメールで同じマルウェアを展開していたことを確認しました。