Группа маскируется под настоящего вендора АСУ ТП и другие организации, чтобы проникнуть в корпоративные сети жертв
Эксперты «Лаборатории Касперского» обнаружили, что с середины 2024 года и по сей день российские организации подвергаются кибератакам группы хактивистов BO Team. Об этом свидетельствуют данные телеметрии. В текущей кампании для получения первоначального доступа к системам потенциальных жертв злоумышленники используют целевой фишинг и тщательно продуманные схемы социальной инженерии. С новыми атаками BO Team столкнулись десятки отечественных организаций — преимущественно из госсектора, а также из сфер ИТ, телекоммуникаций, производства.
Что известно о BO Team. Группа хактивистов BO Team, также известная как Black Owl, Lifting Zmiy и Hoody Hyena, заявила о себе в начале 2024 года через Telegram-канал. В основном она занимается уничтожением ИТ-инфраструктуры жертвы, а в некоторых случаях шифрованием данных и вымогательством. Это серьёзная угроза, нацеленная как на максимальное нанесение ущерба атакованной организации, так и на извлечение финансовой выгоды. Cреди основных мишеней злоумышленников — госсектор и крупные предприятия.
Как начинается кибератака. Для получения первоначального доступа атакующие используют фишинговые рассылки с вредоносными вложениями. Если открыть прикреплённый файл, запускается цепочка компрометации. В результате в системе жертвы выполняется один из распространённых бэкдоров (ПО для скрытого дистанционного управления заражённым устройством): DarkGate, BrockenDoor или Remcos.
Целевой фишинг сопровождается тщательно спланированной кампанией социальной инженерии. В некоторых случаях группа мимикрирует под реально существующую организацию, которая специализируется на автоматизации технологических процессов. Эта компания выбрана не случайно: её род деятельности создаёт правдоподобный контекст для обращения к потенциальным жертвам в государственном, технологическом и энергетическом секторах. При этом для прикрытия также используются и другие организации.
Как отвлекают внимание. Некоторые вредоносные вложения, приводящие к запуску BrockenDoor, не только инициируют загрузку зловреда, но и открывают документ-приманку. Так, в одном из случаев для отвлечения жертвы использовался PDF-файл, имитирующий сопроводительное письмо от поддельной организации. Этот документ якобы содержал детали коммерческого предложения, что создавало иллюзию легитимности происходящего. Параллельно образец из вложения открывал в браузере страницу одного из популярных онлайн-сервисов по проверке контрагентов. Сайт содержал информацию о реально существующей компании, под которую мимикрировали злоумышленники. Таким образом они усиливали доверие к своей рассылке: это могло снизить уровень настороженности у жертвы и помогало успешно завершить начальный этап атаки.
Что происходит дальше. После получения первоначального доступа к целевым системам злоумышленники полагаются в развитии атаки на встроенные средства операционной системы Windows. Они маскируют свои инструменты и процедуры под легитимное ПО, присваивая вредоносным компонентам имена, схожие с системными или общеизвестными исполняемыми файлами. Такой подход позволяет BO Team минимизировать следы присутствия и обойти часть защитных механизмов. Для обеспечения постоянного доступа к скомпрометированной инфраструктуре атакующие применяют ряд техник закрепления, одна из которых — создание запланированных задач в операционной системе Windows. Для повышения привилегий злоумышленники используют ранее скомпрометированные учётные записи, принадлежащие штатным сотрудникам организации.
Какой ущерб наносят. После компрометации целевых систем BO Team уничтожает резервные копии файлов и виртуальную инфраструктуру компании, а также удаляет данные с хостов с помощью популярной утилиты SDelete. В отдельных случаях злоумышленники дополнительно используют шифровальщик Babuk, чтобы потребовать от жертвы выкуп.
Чтобы защититься от подобных атак, эксперты «Лаборатории Касперского» рекомендуют:
- всегда обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей; регулярно выполнять резервное копирование данных; убедиться, что в экстренной ситуации есть возможность быстро получить доступ к бэкапу;
- убедиться в том, что средство администрирования KSC корректно настроено согласно рекомендациям (подробнее — в соответствующих инструкциях KSC Windows и KSC Linux);
- использовать актуальные данные Cyber Threat Intelligence, чтобы оставаться в курсе актуальных техник, тактик и процедур, используемых злоумышленниками;
- применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в уровнях новой линейки продуктов для защиты бизнеса Kaspersky Symphony;
- обучать и инструктировать сотрудников по вопросам обеспечения безопасности корпоративной среды. В этом помогут специализированные курсы, которые можно найти, например, на платформе Kaspersky Automated Security Awareness Platform.
Подробнее — по ссылке: https://securelist.ru/bo-team/112753/.
