СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.09.2025
#ИБ#ИИ

Bo Team: фишинговая кампания с C# Broeckendoor и Zeronetkit

Bo Team: фишинговая кампания с C Broeckendoor и Zeronetkit

Источник: securelist.ru

В сентябре 2025 года группа Bo Team запустила новую фишинговую кампанию, направленную на распространение вредоносного ПО. Анализ недавней активности показывает сочетание тщательно подготовленных социально-инженерных сообщений и модернизированных инструментов бэкдора — комбинация, которая повышает риск успешных атак и осложняет обнаружение вредоносной активности на целевых системах.

Как работает атака

Атака начинается с рассылки вводящих в заблуждение информационных бюллетеней, якобы связанных с официальным расследованием злоупотребления политикой DMS. Письма побуждают получателей открыть вложение — защищённый паролем RAR-архив с именем «The order_protokol.rar». Пароль к архиву удобно указывается в теле письма, что позволяет обойти автоматические механизмы антивирусной проверки при загрузке содержимого.

  • Социальная инженерия: фальшивые рассылки под видом официальных бюллетеней;
  • Техническая уклончивость: использование защищённых паролем RAR-архивов для снижения возможности автоматического сканирования;
  • Целевая доставка полезной нагрузки второго этапа после распаковки и запуска вложения.

Broeckendoor — переписанный бэкдор на C#

Одной из ключевых особенностей кампании стало существенное обновление бэкдора Broeckendoor. Ранее известный инструмент был переписан на C#, при этом сохранив большую часть функциональности оригинала. Среди заметных изменений:

  • Перевод реализации на C#, что может затруднить анализ для тех, кто ориентирован на предыдущие версии;
  • Изменение номенклатуры команд: длинные опции сокращены до двух–трёх символов для запутывания систем обнаружения. Примеры:
    • set_poll_intervalspi
    • run_programrp
  • Broeckendoor теперь служит загрузчиком для дальнейших полезных нагрузок.

Zeronetkit — полезная нагрузка второго этапа

В качестве второй стадии в операциях Bo Team широко используется Zeronetkit. Этот модуль, впервые обнаруженный в конце 2024 года, написан на Go и обладает ограниченным набором функций — всего четырьмя — которые в основном ориентированы на сетевое взаимодействие.

  • Минималистичный функционал: ограниченное число команд, достаточное для организации сетевого канала управления;
  • Название отражает исторические ссылки на ZeroNet и ранние версии «Vegas», что указывает на эволюцию инструментария;
  • Используется через Broeckendoor как нагрузка второго этапа после успешной компрометации.

«Группа Bo Team активно совершенствует свои киберинструменты и стратегии, сочетая фишинг как основной вектор первоначального заражения с улучшенными возможностями вредоносного ПО» — ключевой вывод недавнего анализа.

Показатели компрометации (IOCs)

  • Имя вложения: «The order_protokol.rar» (RAR-архив, защищён паролем, пароль указан в тексте письма);
  • Основной бэкдор: Broeckendoor (новая реализация на C#);
  • Сокращённые команды: spi, rp и другие двух- или трёхсимвольные опции;
  • Полезная нагрузка второго этапа: Zeronetkit (написан на Go, сетевые функции — 4 команды);
  • Временная привязка: активность замечена в сентябре 2025 года; первая фиксация Zeronetkit — конец 2024 года.

Рекомендации по защите

Учитывая характер кампании, эксперты по кибербезопасности рекомендуют следующие меры:

  • Повысить осведомлённость сотрудников: специализированные тренинги по распознаванию фишинговых рассылок и правил работы с вложениями;
  • Блокировать и анализировать RAR-вложения на уровне шлюза и почтовых фильтров; запрещать открытие архивов с паролем без подтверждённой потребности;
  • Настроить EDR/NGAV на базу поведения — отслеживание нехарактерного запуска процессов, сетевых соединений и загрузчиков;
  • Добавить детекцию коротких команд и аномальной номенклатуры в аналитические правила (SIG, YARA, hunting-процессы);
  • Мониторить исходящую сетевую активность на предмет команд и соединений, характерных для Zeronetkit;
  • Обмениваться IOC и информацией о тактиках с сообществом и партнёрскими CERT/ISAC.

Вывод

Кампания Bo Team демонстрирует сочетание классических методов социальной инженерии и эволюции вредоносного ПО: фишинговые рассылки с защищёнными архивами служат входной точкой, а обновлённый Broeckendoor на C# и Zeronetkit обеспечивают устойчивую постэксплуатацию. Такая адаптивность группы увеличивает сложность обнаружения и требует постоянного мониторинга, обновления методов детекции и проактивных мер защиты со стороны организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: