BO Team відновила атаки: новий BrockenDoor на C# і другий етап ZeronetKit на Go

CyberSecureFox 🦊

На початку вересня 2025 року дослідники зафіксували нову хвилю атак угруповання BO Team (також відоме як Black Owl, Lifting Zmiy і Hoody Hyena) на російські організації з різних секторів. Оператори оновили інструментарій: бекдор BrockenDoor повністю переписано на C#, а пов’язаний модуль ZeronetKit на Go отримав розширені мережеві команди. Пріоритетні цілі — ІТ‑інфраструктура держсектору та великого бізнесу, крадіжка даних і шантаж.

Таргетований фішинг і правдоподібні «службові документи»

Початкове проникнення здійснюється через цільовий фішинг з вкладеними архівами, вміст яких адаптується під конкретну жертву. У низці випадків зловмисники розсилали повідомлення про нібито зловживання полісом ДМС, додаючи захищений паролем архів. Усередині містився виконуваний файл, замаскований під PDF за рахунок довгої послідовності пробілів у назві та прихованого розширення .exe. Після запуску користувачу показували документ‑приманку — фальшивий протокол «службового розслідування».

Шкідливий код перевіряє наявність російської розкладки клавіатури й не запускається без неї, що підкреслює прицільний характер кампанії проти російськомовних користувачів. Такий підхід відповідає тактикам MITRE ATT&CK T1566 (Phishing) і T1204 (User Execution). Згідно з Verizon DBIR 2024, людський фактор і надалі залишається ключовим елементом інцидентів кібербезпеки.

BrockenDoor на C#: обфускація, короткі команди та зручність розробки

Головне оновлення — повна міграція BrockenDoor на C#. Такий стек спрощує розробку і масштабування, а також дає доступ до широкого спектра обфускаторів і пакерів, що ускладнюють статичний/поведінковий аналіз. Команди керування скорочено до 2–3 символів (наприклад, set_poll_interval → spi, run_program → rp), що знижує ефективність рядкових сигнатур і класичних IOC.

Можливості та телеметрія беку

Функціонально бекдор зберіг базові можливості: встановлення з’єднання з C2, збір системної інформації (ім’я користувача, ім’я хоста, версія ОС) і отримання списку файлів із робочого столу. Якщо ціль виявляється перспективною, оператори надсилають додаткові команди для подальшої експлуатації середовища.

ZeronetKit на Go: другий етап і розширене мережеве керування

У поточній кампанії BrockenDoor виступає дроппером для оновленого бекдора ZeronetKit, написаного на Go. Дослідники відзначають появу нових команд мережевої взаємодії, що підвищує живучість інфраструктури нападників і ускладнює реагування та ізоляцію інцидентів.

Вибір цілей і персоналізація приманок

Фокус — російські організації, насамперед державні структури та великі підприємства. Тексти листів і вкладень підганяються під юридичний контекст і бізнес‑процеси жертви; тема часто апелює до ДМС для співробітників із наголосом на «терміновість». Використання кастомізованих приманок замість шаблонів підвищує конверсію фішингу й відтерміновує виявлення.

Практичні заходи захисту: пошта, кінцеві точки та мережа

Поштова безпека: впроваджуйте SPF, DKIM і DMARC; застосовуйте sandbox/детонацію вкладень; блокуйте доставку виконуваних файлів у архівах, файлів із подвійними/прихованими розширеннями та аномально довгими пробілами в іменах.

Захист кінцевих точок: використовуйте EDR/NGAV із поведінковими правилами для загрузчиків на C#; задіюйте Microsoft Attack Surface Reduction (ASR); блокуйте запуск дочірніх процесів із офісних застосунків; примусово відображайте розширення файлів у ОС.

Мережева видимість: моніторте вихідні з’єднання до невідомих C2; збирайте телеметрію DNS і TLS; обмежуйте несанкціоновані проксі/VPN; застосовуйте сегментацію та принцип найменших привілеїв для мінімізації горизонтального переміщення.

Людський фактор: регулярні тренінги й контролювані фішинг‑тести з реалістичними сценаріями істотно підвищують стійкість користувачів до цільових атак.

Еволюція інструментарію BO Team — перепис BrockenDoor на C#, агресивна обфускація та «двоступенева» ланка із ZeronetKit — свідчить про підвищення технологічної зрілості зловмисників. Організаціям варто зіставляти свої контролі з матрицею MITRE ATT&CK, оновлювати правила детектування і максимально рано розривати ланцюг атаки — від фішингу до першого завантаження. Посилюйте поштову гігієну, видимість на кінцевих точках і в мережі, впроваджуйте багаторівневий захист і системне навчання персоналу.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються дані ваших коментарів.