Эксперты «Лаборатории Касперского» обнаружили, что с середины 2024 года и по сей день российские организации атакует группа хактивистов BO Team. С атаками BO Team столкнулись десятки российских организаций из госсектора, а также из сфер ИТ, телекоммуникаций, производства.
Для получения первоначального доступа к системам потенциальных жертв злоумышленники используют целевой фишинг и тщательно продуманные схемы социальной инженерии, рассказывают исследователи.
BO Team также известна под названиями Black Owl, Lifting Zmiy и Hoody Hyena. Впервые группа заявила о себе в начале 2024 года через свой Telegram-канал.
В основном она занимается уничтожением ИТ-инфраструктуры жертвы, а в некоторых случаях шифрованием данных и вымогательством. То есть злоумышленники ориентированы как на максимальное нанесение ущерба атакованной организации, так и на извлечение финансовой выгоды. Среди основных мишеней злоумышленников — госсектор и крупные предприятия.
Для получения первоначального доступа хакеры используют фишинговые рассылки с вредоносными вложениями. Если открыть прикрепленный к письму файл, запускается цепочка компрометации. В результате в системе жертвы выполняется один из распространенных бэкдоров: DarkGate, BrockenDoor или Remcos.
При этом фишинг сопровождается тщательно спланированной кампанией социальной инженерии. Так, в некоторых случаях группировка маскируется под неназванную реальную организацию, которая специализируется на автоматизации технологических процессов. Эта компания выбрана не случайно: ее род деятельности создает правдоподобный контекст для обращения к потенциальным жертвам в государственном, технологическом и энергетическом секторах.
Для отвлечения внимания жертв некоторые вредоносные вложения, приводящие к запуску бэкдора, не только инициируют загрузку малвари, но и открывают документ-приманку. Так, в одном из случаев использовался PDF-файл, имитирующий сопроводительное письмо от поддельной организации. Документ якобы содержал детали коммерческого предложения, что создавало иллюзию легитимности происходящего.
Параллельно образец из вложения открывал в браузере страницу одного из популярных онлайн-сервисов по проверке контрагентов. Сайт содержал информацию о реально существующей компании, под которую маскировались злоумышленники. Таким образом хакеры усиливали доверие к своей рассылке: это могло снизить уровень настороженности у жертвы и помогало успешно завершить начальный этап атаки.
После получения первоначального доступа к целевым системам злоумышленники полагаются в развитии атаки на использование техники Living off the Land (LotL), то есть используют встроенные средства ОС Windows. Они маскируют свои инструменты и процедуры под легитимное ПО, присваивая вредоносным компонентам имена, схожие с системными или общеизвестными исполняемыми файлами.
Для обеспечения постоянного доступа к скомпрометированной инфраструктуре BO Team применяет ряд техник, одна из которых — создание запланированных задач в Windows. Для повышения привилегий злоумышленники используют ранее скомпрометированные учетные записи, принадлежащие штатным сотрудникам организации.
После компрометации целевых систем хакеры уничтожают резервные копии файлов и виртуальную инфраструктуру компании, а также удаляет данные с хостов с помощью утилиты SDelete. Эксперты предупреждают, что в отдельных случаях злоумышленники дополнительно используют шифровальщик Babuk, чтобы потребовать от жертвы выкуп. Сборки созданы с помощью оригинального билдера Babuk, утекшего в открытый доступ в 2021 году.
Про некоторые из своих атак BO Team сообщает в своем Telegram-канале, что, по словам исследователей, служит как элементом психологического давления на жертв, так и способом самопозиционирования в медиапространстве, характерным для хактивистских группировок.
«Мы относим BO Team к проукраинскому кластеру, однако в ходе анализа мы не выявили прямых технических признаков координации действий или совместного использования инструментов с другими группировками. Деятельность BO Team характеризуется высокой степенью автономности и применением уникальных, нехарактерных для остальных участников кластера инструментов и техник. Мы относим группу к кластеру преимущественно из-за общей идейной направленности их операций», — заключают исследователи.
