В начале сентября 2025 года эксперты Лаборатории Касперского зафиксировали новую волну атак группировки BO Team (известной также как Black Owl, Lifting Zmiy и Hoody Hyena) против российских организаций из разных отраслей. По данным исследователей, хактивисты обновили свой инструментарий: бэкдор BrockenDoor переписан на C#, а в связанный с ним модуль ZeronetKit на Go добавлены расширенные сетевые команды. Цели кампании — разрушение ИТ-инфраструктуры, кража данных и вымогательство, приоритетно в госсекторе и крупном бизнесе.
Вектор проникновения: фишинговые письма и правдоподобные «служебные документы»
BO Team применяет целевой фишинг с вложенными архивами, содержание которых кастомизируется под конкретную организацию. В одном из эпизодов злоумышленники рассылали сообщения о якобы выявленных злоупотреблениях полисом ДМС, прикладывая защищенный паролем архив. Внутри находился исполняемый файл, замаскированный под PDF за счет длинной последовательности пробелов в названии и скрытого расширения .exe. При запуске пользователю показывается документ-приманка — фальшивый протокол «служебного расследования».
Примечательно, что вредоносный код проверяет раскладку клавиатуры и не запускается, если в системе отсутствует русская раскладка. Это подчеркивает прицельный характер кампании против русскоязычных пользователей.
Фишинг остается ключевым каналом первоначального проникновения в инфраструктуру. Согласно отчету Verizon DBIR 2024, значительная доля инцидентов включает человеческий фактор, а социальная инженерия и фишинг остаются среди наиболее результативных приемов злоумышленников. Подход BO Team хорошо вписывается в тактики MITRE ATT&CK, включая T1566 (Phishing) и T1204 (User Execution).
BrockenDoor на C#: обфускация, сжатие команд и гибкость разработки
Главное техническое изменение — полная перепись BrockenDoor на C#. Этот стек упрощает разработку и масштабирование, а также открывает доступ к множеству легкодоступных обфускаторов и пакеров, затрудняющих статический и поведенческий анализ. Дополнительно команда управления бэкдором заменена на короткие сокращения из 2–3 символов, что снижает эффективность сигнатур на уровне строк. Например, set_poll_interval превращена в spi, а run_program — в rp.
Функциональность и сбор телеметрии
С точки зрения возможностей бэкдора существенных нововведений нет. BrockenDoor устанавливает соединение с командно‑контрольным сервером (C2), собирает базовую системную информацию (имена пользователя и компьютера, версию ОС) и выгружает список файлов с рабочего стола. Если операторы считают цель перспективной, бэкдор получает дополнительные команды для развертывания атаки и постэксплуатации.
ZeronetKit на Go: второй этап и расширение команд
В рамках текущей кампании BrockenDoor используется как «дроппер» для установки обновленной версии другого бэкдора — ZeronetKit, написанного на Go. По наблюдениям исследователей, в ZeronetKit добавлены новые команды для сетевого взаимодействия, что повышает устойчивость инфраструктуры нападающих и усложняет реагирование.
Кого атакуют и как подбирают приманки
Атаки ориентированы на российские организации, включая госсектор и крупные предприятия. Тексты писем и вложений адаптируются под юридический контекст и бизнес-процессы конкретной жертвы — в рассматриваемых случаях тему подводили к ДМС для сотрудников, акцентируя «срочность» ознакомления. По оценке экспертов Лаборатории Касперского, BO Team отказалась от типовых шаблонов и готовит приманки «под цель», что повышает конверсию фишинга и снижает вероятность мгновенного обнаружения.
Практические меры защиты от BO Team и подобных кампаний
Почтовая защита: применяйте SPF, DKIM и DMARC; включайте изоляцию (sandbox) и детонацию вложений; блокируйте доставку исполняемых файлов в архивах и файлов с скрытыми/двойными расширениями и аномально длинными пробелами в именах.
Контроль на рабочих станциях: используйте EDR/NGAV с поведенческими правилами для загрузчиков на C#; включайте Microsoft Attack Surface Reduction (ASR); запрещайте запуск дочерних процессов из офисных приложений; принудительно отображайте расширения файлов в ОС.
Сетевой мониторинг: отслеживайте исходящие соединения к неизвестным C2; ведите телеметрию DNS и TLS; ограничивайте несанкционированные прокси/VPN. Сегментируйте сеть и применяйте принцип наименьших привилегий, чтобы ограничить горизонтальное перемещение.
Обучение персонала и тесты на фишинг: регулярные тренировки с реальными сценариями и контролем кликабельности повышают устойчивость к целевому фишингу.
Важно: проверка раскладки клавиатуры злоумышленниками — индикатор таргетинга, а не средство защиты. Ставка на такой «фаервол по умолчанию» опасна; необходимы многоуровневые меры контроля и реагирования.
Кампания BO Team показывает, как быстро эволюционируют инструменты хактивистов: переписывание бэкдора на C#, активная обфускация и «двухступенчатая» цепочка с ZeronetKit повышают эффективность атак. Организациям стоит усилить почтовую гигиену, видимость на конечных точках и сетях, а также регулярно обучать сотрудников. Рекомендуется сопоставлять защитные меры с матрицей MITRE ATT&CK и своевременно обновлять средства защиты и правила детектирования. Чем раньше будет разорвана цепочка фишинга и загрузки, тем ниже риск простоя, вымог