Cybersicherheitsexperten von Kaspersky haben eine großangelegte Angriffskampagne der Hacktivisten-Gruppe BO Team (auch bekannt als Black Owl, Lifting Zmiy und Hoody Hyena) aufgedeckt. Die seit Mitte 2023 andauernden gezielten Cyberangriffe richten sich gegen zahlreiche Organisationen, darunter staatliche Einrichtungen, IT-Unternehmen, Telekommunikationsanbieter und Industriebetriebe.
Raffinierte Social-Engineering-Taktiken im Fokus
Die Angreifer setzen auf hochentwickelte Phishing-Kampagnen und tarnen sich dabei als legitime Unternehmen aus dem Bereich der Prozessautomatisierung. Diese Strategie ermöglicht es ihnen, besonders glaubwürdige Kommunikationsszenarien für potenzielle Opfer aus dem staatlichen, technologischen und energetischen Sektor zu konstruieren. Die sorgfältig gestalteten Phishing-Nachrichten sind dabei so überzeugend, dass sie selbst erfahrene Mitarbeiter täuschen können.
Technische Analyse der Angriffsmethoden
Bei erfolgreicher Aktivierung der schadhaften Anhänge wird eine komplexe Infektionskette in Gang gesetzt. Diese führt zur Installation bekannter Backdoor-Trojaner wie DarkGate, BrockenDoor oder Remcos. Um die Authentizität zu erhöhen, verwenden die Angreifer ausgeklügelte Köder-Dokumente und automatisierte Weiterleitungen zu legitimen Unternehmenswebseiten.
Advanced Persistent Threat (APT) Techniken
Nach der initialen Kompromittierung nutzt die Gruppe Living off the Land (LotL)-Techniken, bei denen native Windows-Tools zweckentfremdet werden. Die Malware wird dabei als legitime Software getarnt. Durch die Erstellung von geplanten Tasks und die Ausnutzung kompromittierter Mitarbeiterkonten erfolgt eine systematische Privilegienausweitung im Netzwerk.
Destruktive Ziele und Erpressungsversuche
Das primäre Ziel der BO Team-Kampagne ist die systematische Zerstörung der IT-Infrastruktur ihrer Opfer. Dies umfasst die Vernichtung von Backups und virtuellen Umgebungen. In einigen Fällen kommt die Babuk-Ransomware zum Einsatz, um Lösegeldzahlungen zu erpressen. Die Gruppe nutzt zusätzlich einen Telegram-Kanal zur psychologischen Kriegsführung gegen ihre Opfer.
Organisationen wird dringend empfohlen, ihre Cybersicherheitsmaßnahmen zu verstärken. Dies umfasst die Implementation mehrstufiger Authentifizierung, regelmäßige Sicherheitsschulungen für Mitarbeiter und den Aufbau robuster Backup-Strategien. Besonders wichtig ist die Einrichtung eines umfassenden Phishing-Schutzes sowie die kontinuierliche Überwachung von Netzwerkaktivitäten auf verdächtige Muster. Die Verwendung aktueller Endpoint-Protection-Lösungen und regelmäßige Sicherheitsaudits sind dabei unverzichtbare Grundpfeiler einer effektiven Verteidigungsstrategie.
