Хактивисты BO Team атакуют российские организации новым бэкдором через фишинговые письма о ДМС

В начале сентября 2025 года эксперты «Лаборатории Касперского» выявили новую кампанию группы BO Team, жертвами которой стали российские организации из разных сфер. Хактивисты обновили свой инструментарий — теперь они атакуют компании новой версией бэкдора BrockenDoor. Для получения первоначального доступа использовались целевые фишинговые письма: злоумышленники представлялись поставщиками услуг страхования и банковскими организациями. Сам бэкдор содержится в запароленном архиве, что затрудняет обнаружение защитными программами.

Что известно о BO Team. Группа хактивистов BO Team, также известная как Black Owl, Lifting Zmiy и Hoody Hyena, заявила о себе в начале 2024 года через Telegram-канал. В основном она занимается уничтожением ИТ-инфраструктуры жертвы, а в некоторых случаях шифрованием данных и вымогательством. Это серьёзная угроза, нацеленная как на максимальное нанесение ущерба атакованной организации, так и на извлечение финансовой выгоды. Cреди основных мишеней злоумышленников — госсектор и крупные предприятия.

Документ-приманка. Чтобы получить доступ к системам жертв, злоумышленники рассылают целевые фишинговые письма с вредоносными архивами. Легенды, судя по всему, адаптируются к каждой конкретной атаке. Например, в одном из писем утверждалось, что были обнаружены признаки злоупотребления полисом ДМС. Во вложенном архиве содержался исполняемый файл, замаскированный под PDF-документ. Расширение этого файла — .exe, причём злоумышленники специально отделили его от названия большим количеством пробелов, чтобы скрыть подмену. Архив защищён паролем, который указан в теле письма. Таким образом атакующие стремятся предотвратить автоматическое сканирование защитными программами.   

После того как жертва откроет файл, отображается документ-приманка — фальшивый протокол о проведении «служебного расследования». Причём, в отличие от предыдущих кампаний, вредоносный файл не будет выполнять свои действия, если в системе не установлена русская раскладка клавиатуры — чтобы атаки были нацелены только на русскоязычных жертв.    

Что известно про новую версию BrockenDoor. Основной вредоносный код бэкдора полностью переписан на языке C#: это упрощает для атакующих процесс программирования. К тому же, для C# существует множество легкодоступных обфускаторов и пакеров, позволяющих скрыть вредоносное содержимое. Также вместо полных названий команд теперь используются сокращения до двух-трёх символов, что затрудняет анализ.

Сама функциональность бэкдора не претерпела значительных изменений. BrockenDoor связывается с сервером злоумышленников и отправляет им различную информацию, например имя пользователя и компьютера, версию операционной системы, список найденных на рабочем столе файлов. Если она кажется им интересной, бэкдор получает команды для запуска дальнейших сценариев атаки. Кроме того, в рамках новой кампании BrockenDoor применялся для установки обновлённой версии другого бэкдора — ZeronetKit, написанного на языке Go, который также используется в атаках группы BO Team.

«В рамках текущей кампании злоумышленники обновили свой инструментарий: уже знакомый нам бэкдор BrockenDoor был переписан на C#, а в зловред ZeronetKit, также известный с 2024 года, были добавлены новые команды для сетевой коммуникации. Жертвами атак стали российские организации, заинтересованные в ДМС для своих сотрудников. При этом стоит отметить, что фишинговые письма, ставшие первоначальным вектором проникновения в инфраструктуру пострадавших компаний, а также документы-приманки, скорее всего, создавались под конкретные цели: атакующие не использовали типовые шаблоны, а адаптировали вложения в каждой конкретной атаке под юридические документы, призывая жертву срочно ознакомиться с их содержанием. Мы продолжим внимательно следить за активностью группы BO Team», — комментирует Олег Купреев, эксперт по кибербезопасности «Лаборатории Касперского».

Подробнее о кибератаках BO Team — на сайте Securelist.ru.

Чтобы защититься от подобных атак, «Лаборатория Касперского» рекомендует организациям:

• обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»;
• своевременно обновлять программное обеспечение на всех устройствах, чтобы атакующие не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
• регулярно выполнять резервное копирование данных и убедиться, что в экстренной ситуации есть возможность быстро получить доступ к бэкапу;
• предоставлять ИБ-специалистам доступ к данным о киберугрозах Threat Intelligence, чтобы оставаться в курсе актуальных техник, тактик и процедур злоумышленников;
• устанавливать защитные решения, эффективность которых подтверждается независимыми тестами;
• делать выбор в пользу комплексных продуктов, которые позволят выстроить гибкую и систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony.