На початку вересня 2025 року дослідники зафіксували нову хвилю атак угруповання BO Team (також відоме як Black Owl, Lifting Zmiy і Hoody Hyena) на російські організації з різних секторів. Оператори оновили інструментарій: бекдор BrockenDoor повністю переписано на C#, а пов’язаний модуль ZeronetKit на Go отримав розширені мережеві команди. Пріоритетні цілі — ІТ‑інфраструктура держсектору та великого бізнесу, крадіжка даних і шантаж.
Таргетований фішинг і правдоподібні «службові документи»
Початкове проникнення здійснюється через цільовий фішинг з вкладеними архівами, вміст яких адаптується під конкретну жертву. У низці випадків зловмисники розсилали повідомлення про нібито зловживання полісом ДМС, додаючи захищений паролем архів. Усередині містився виконуваний файл, замаскований під PDF за рахунок довгої послідовності пробілів у назві та прихованого розширення .exe. Після запуску користувачу показували документ‑приманку — фальшивий протокол «службового розслідування».
Шкідливий код перевіряє наявність російської розкладки клавіатури й не запускається без неї, що підкреслює прицільний характер кампанії проти російськомовних користувачів. Такий підхід відповідає тактикам MITRE ATT&CK T1566 (Phishing) і T1204 (User Execution). Згідно з Verizon DBIR 2024, людський фактор і надалі залишається ключовим елементом інцидентів кібербезпеки.
BrockenDoor на C#: обфускація, короткі команди та зручність розробки
Головне оновлення — повна міграція BrockenDoor на C#. Такий стек спрощує розробку і масштабування, а також дає доступ до широкого спектра обфускаторів і пакерів, що ускладнюють статичний/поведінковий аналіз. Команди керування скорочено до 2–3 символів (наприклад, set_poll_interval → spi, run_program → rp), що знижує ефективність рядкових сигнатур і класичних IOC.
Можливості та телеметрія беку
Функціонально бекдор зберіг базові можливості: встановлення з’єднання з C2, збір системної інформації (ім’я користувача, ім’я хоста, версія ОС) і отримання списку файлів із робочого столу. Якщо ціль виявляється перспективною, оператори надсилають додаткові команди для подальшої експлуатації середовища.
ZeronetKit на Go: другий етап і розширене мережеве керування
У поточній кампанії BrockenDoor виступає дроппером для оновленого бекдора ZeronetKit, написаного на Go. Дослідники відзначають появу нових команд мережевої взаємодії, що підвищує живучість інфраструктури нападників і ускладнює реагування та ізоляцію інцидентів.
Вибір цілей і персоналізація приманок
Фокус — російські організації, насамперед державні структури та великі підприємства. Тексти листів і вкладень підганяються під юридичний контекст і бізнес‑процеси жертви; тема часто апелює до ДМС для співробітників із наголосом на «терміновість». Використання кастомізованих приманок замість шаблонів підвищує конверсію фішингу й відтерміновує виявлення.
Практичні заходи захисту: пошта, кінцеві точки та мережа
Поштова безпека: впроваджуйте SPF, DKIM і DMARC; застосовуйте sandbox/детонацію вкладень; блокуйте доставку виконуваних файлів у архівах, файлів із подвійними/прихованими розширеннями та аномально довгими пробілами в іменах.
Захист кінцевих точок: використовуйте EDR/NGAV із поведінковими правилами для загрузчиків на C#; задіюйте Microsoft Attack Surface Reduction (ASR); блокуйте запуск дочірніх процесів із офісних застосунків; примусово відображайте розширення файлів у ОС.
Мережева видимість: моніторте вихідні з’єднання до невідомих C2; збирайте телеметрію DNS і TLS; обмежуйте несанкціоновані проксі/VPN; застосовуйте сегментацію та принцип найменших привілеїв для мінімізації горизонтального переміщення.
Людський фактор: регулярні тренінги й контролювані фішинг‑тести з реалістичними сценаріями істотно підвищують стійкість користувачів до цільових атак.
Еволюція інструментарію BO Team — перепис BrockenDoor на C#, агресивна обфускація та «двоступенева» ланка із ZeronetKit — свідчить про підвищення технологічної зрілості зловмисників. Організаціям варто зіставляти свої контролі з матрицею MITRE ATT&CK, оновлювати правила детектування і максимально рано розривати ланцюг атаки — від фішингу до першого завантаження. Посилюйте поштову гігієну, видимість на кінцевих точках і в мережі, впроваджуйте багаторівневий захист і системне навчання персоналу.
