Специалисты по кибербезопасности из «Лаборатории Касперского» выявили масштабную кампанию кибератак на российские организации, проводимую хактивистской группой BO Team (также известной как Black Owl, Lifting Zmiy и Hoody Hyena). Атаки, начавшиеся в середине 2023 года, затронули десятки организаций государственного сектора, ИТ-компаний, телекоммуникационных предприятий и производственных объектов.
Изощренные методы социальной инженерии
Злоумышленники используют тщательно спланированные фишинговые кампании, маскируясь под легитимные организации в сфере автоматизации технологических процессов. Такой подход позволяет создавать правдоподобный контекст для коммуникации с потенциальными жертвами в государственном, технологическом и энергетическом секторах.
Технические особенности атак
При успешном открытии вредоносных вложений запускается сложная цепочка компрометации, приводящая к установке известных бэкдоров: DarkGate, BrockenDoor или Remcos. Для усиления достоверности атаки хакеры используют документы-приманки и автоматическое открытие веб-страниц с информацией о реальных компаниях.
Продвинутые техники компрометации
После получения доступа группировка применяет технику Living off the Land (LotL), используя встроенные инструменты Windows и маскируя вредоносные компоненты под легитимное ПО. Злоумышленники создают запланированные задачи в системе и эксплуатируют скомпрометированные учетные записи сотрудников для повышения привилегий.
Последствия атак и вымогательство
Основная цель BO Team — уничтожение ИТ-инфраструктуры жертв, включая резервные копии данных и виртуальную инфраструктуру. В некоторых случаях применяется программа-вымогатель Babuk для получения выкупа. Группировка активно освещает свои атаки через Telegram-канал, используя медийность как инструмент психологического давления.
Несмотря на проукраинскую направленность группировки, исследователи отмечают высокую степень её автономности и использование уникальных инструментов, нехарактерных для других подобных групп. Организациям рекомендуется усилить защиту от целевого фишинга, проводить регулярные тренинги по информационной безопасности и внедрить многоуровневую систему защиты критической инфраструктуры.
