В начале сентября была зафиксирована новая кибератака группы BO Team, нацеленная на российские организации. Хакеры обновили свои инструменты, используя новую версию бэкдора BrockenDoor и целевые фишинговые письма, выдавая себя за поставщиков услуг страхования и банковские учреждения. Вредоносный файл помещен в запароленный архив, что затрудняет его обнаружение. Об этом «Газете.Ru» сообщили в пресс-службе компании «Лаборатория Касперского».
Группа BO Team, известная также как Black Owl, Lifting Zmiy и Hoody Hyena, активно действует с начала 2024 года, нанося ущерб ИТ-инфраструктуре жертв и осуществляя вымогательство. Основные мишени включают госсектор и крупные предприятия. BO Team открыто поддерживает Украину в киберпространстве в рамках СВО.
Для доступа к системам жертв хакеры рассылают фишинговые письма с вредоносными архивами. В одном из случаев письмо содержало информацию о злоупотреблении полисом ДМС, а вложенный файл маскировался под PDF-документ. Вредоносный код бэкдора переписан на языке C#, что упрощает его программирование и сокрытие от антивирусных программ.
Функциональность BrockenDoor осталась прежней: он связывается с серверами злоумышленников и передает информацию о пользователе и системе. В рамках кампании также использовался обновленный бэкдор ZeronetKit. Эксперты отмечают, что фишинговые письма и документы-приманки адаптированы под конкретные цели, что повышает их эффективность.
Олег Купреев, эксперт по кибербезопасности «Лаборатории Касперского», подчеркнул важность мониторинга активности группы BO Team в свете новых угроз.
Ранее украинские хакеры атаковали российских провайдеров спутниковой связи.
