Kaspersky: группировка BO Team использует автономные тактики и редкие инструменты при атаках на российские компании

«Лаборатория Касперского» представила аналитический отчёт, в котором подробно разобраны методы атак и технический арсенал хактивистской группы BO Team. Документ сфокусирован на её инфраструктуре, инструментах, сценариях проникновения и поведении после получения доступа к целям.

Исследование описывает BO Team как самостоятельное формирование с чёткой разрушительной направленностью и финансовым интересом. По риторике и целям её можно соотнести с проукраинскими хактивистскими объединениями, но уникальность применяемых техник отличает группу от коллег по идеологии.

В отличие от других представителей кластера, BO Team использует оригинальный набор вредоносных решений, среди которых Remcos, DarkGate, BrockenDoor, HandleKatz, кастомизированная версия SDelete и Babuk для Windows. Большинство из этих программ распространены в даркнете, но BO Team адаптирует их под собственные задачи.

Цепочка проникновения, описанная в исследовании, начинается с целевого фишинга, где в качестве прикрытия используется образ реально существующей компании, связанной с автоматизацией. Это позволяет создать правдоподобный контекст для получателя. Письма визуально и содержательно схожи с официальной корреспонденцией, используют домены, имитирующие легитимные адреса, и подкреплены ссылками на открытые реестры юридических лиц.

При открытии вложений активируется вредонос, сопровождаемый отвлекающим документом. Одновременно подгружается фальшивая карточка компании, что усиливает доверие к рассылке. После запуска происходит соединение с серверами управления, дальнейшее заражение и скрытая установка бэкдоров.

Злоумышленники прибегают к методике LotL — применению встроенных утилит Windows. Примеры — PowerShell, wmic.exe, tasklist. Это снижает вероятность обнаружения и обхода защитных решений. Для закрепления используются запланированные задачи, маскируемые под обновления Microsoft Edge, запускающие туннельное ПО (GO Simple Tunnel).