Перейти к основному разделу

Хактивисты BO Team используют целевой фишинг для атак на российский бизнес и госсектор

30 мая 2025 г.

Группа маскируется под настоящего вендора АСУ ТП и другие организации, чтобы проникнуть в корпоративные сети жертв

Эксперты «Лаборатории Касперского» обнаружили, что с середины 2024 года и по сей день российские организации подвергаются кибератакам группы хактивистов BO Team. Об этом свидетельствуют данные телеметрии. В текущей кампании для получения первоначального доступа к системам потенциальных жертв злоумышленники используют целевой фишинг и тщательно продуманные схемы социальной инженерии. С новыми атаками BO Team столкнулись десятки отечественных организаций — преимущественно из госсектора, а также из сфер ИТ, телекоммуникаций, производства.

Что известно о BO Team. Группа хактивистов BO Team, также известная как Black Owl, Lifting Zmiy и Hoody Hyena, заявила о себе в начале 2024 года через Telegram-канал. В основном она занимается уничтожением ИТ-инфраструктуры жертвы, а в некоторых случаях шифрованием данных и вымогательством. Это серьёзная угроза, нацеленная как на максимальное нанесение ущерба атакованной организации, так и на извлечение финансовой выгоды. Cреди основных мишеней злоумышленников — госсектор и крупные предприятия.

Как начинается кибератака. Для получения первоначального доступа атакующие используют фишинговые рассылки с вредоносными вложениями. Если открыть прикреплённый файл, запускается цепочка компрометации. В результате в системе жертвы выполняется один из распространённых бэкдоров (ПО для скрытого дистанционного управления заражённым устройством): DarkGate, BrockenDoor или Remcos.

Целевой фишинг сопровождается тщательно спланированной кампанией социальной инженерии. В некоторых случаях группа мимикрирует под реально существующую организацию, которая специализируется на автоматизации технологических процессов. Эта компания выбрана не случайно: её род деятельности создаёт правдоподобный контекст для обращения к потенциальным жертвам в государственном, технологическом и энергетическом секторах. При этом для прикрытия также используются и другие организации.

Как отвлекают внимание. Некоторые вредоносные вложения, приводящие к запуску BrockenDoor, не только инициируют загрузку зловреда, но и открывают документ-приманку. Так, в одном из случаев для отвлечения жертвы использовался PDF-файл, имитирующий сопроводительное письмо от поддельной организации. Этот документ якобы содержал детали коммерческого предложения, что создавало иллюзию легитимности происходящего. Параллельно образец из вложения открывал в браузере страницу одного из популярных онлайн-сервисов по проверке контрагентов. Сайт содержал информацию о реально существующей компании, под которую мимикрировали злоумышленники. Таким образом они усиливали доверие к своей рассылке: это могло снизить уровень настороженности у жертвы и помогало успешно завершить начальный этап атаки.

Что происходит дальше. После получения первоначального доступа к целевым системам злоумышленники полагаются в развитии атаки на встроенные средства операционной системы Windows. Они маскируют свои инструменты и процедуры под легитимное ПО, присваивая вредоносным компонентам имена, схожие с системными или общеизвестными исполняемыми файлами. Такой подход позволяет BO Team минимизировать следы присутствия и обойти часть защитных механизмов. Для обеспечения постоянного доступа к скомпрометированной инфраструктуре атакующие применяют ряд техник закрепления, одна из которых создание запланированных задач в операционной системе Windows. Для повышения привилегий злоумышленники используют ранее скомпрометированные учётные записи, принадлежащие штатным сотрудникам организации.

Какой ущерб наносят. После компрометации целевых систем BO Team уничтожает резервные копии файлов и виртуальную инфраструктуру компании, а также удаляет данные с хостов с помощью популярной утилиты SDelete. В отдельных случаях злоумышленники дополнительно используют шифровальщик Babuk, чтобы потребовать от жертвы выкуп.

Чтобы защититься от подобных атак, эксперты «Лаборатории Касперского» рекомендуют:

  • всегда обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей; регулярно выполнять резервное копирование данных; убедиться, что в экстренной ситуации есть возможность быстро получить доступ к бэкапу;
  • убедиться в том, что средство администрирования KSC корректно настроено согласно рекомендациям (подробнее — в соответствующих инструкциях KSC Windows и KSC Linux);
  • использовать актуальные данные Cyber Threat Intelligence, чтобы оставаться в курсе актуальных техник, тактик и процедур, используемых злоумышленниками;
  • применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в уровнях новой линейки продуктов для защиты бизнеса Kaspersky Symphony;
  • обучать и инструктировать сотрудников по вопросам обеспечения безопасности корпоративной среды. В этом помогут специализированные курсы, которые можно найти, например, на платформе Kaspersky Automated Security Awareness Platform.

Подробнее по ссылке: https://securelist.ru/bo-team/112753/.

Хактивисты BO Team используют целевой фишинг для атак на российский бизнес и госсектор

Группа маскируется под настоящего вендора АСУ ТП и другие организации, чтобы проникнуть в корпоративные сети жертв
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя комплексную защиту цифровой жизни и личных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Другие пресс-релизы