Их цель — уничтожение. «Касперский» предупредил о новой кампании хактивистов против Россиян

Лаборатория Касперского brockendoor bo team фишинг бэкдор кибератака
Их цель — уничтожение. «Касперский» предупредил о новой кампании хактивистов против Россиян
Лаборатория Касперского brockendoor bo team фишинг бэкдор кибератака

«Лаборатория Касперского» рассказала о новой кибератаке.

image

В начале сентября 2025 года эксперты «Лаборатории Касперского» выявили новую кампанию хактивистов BO Team, направленную против российских организаций разных сфер. Для атак используется обновлённая версия бэкдора BrockenDoor, распространяемая через целевые фишинговые письма.

Злоумышленники маскируются под поставщиков страховых и банковских услуг. Письма содержат вложенные архивы, защищённые паролем, который указывается в теле письма. Такой приём затрудняет автоматическое сканирование защитными программами. Внутри архивов находятся исполняемые файлы под видом PDF-документов, при этом расширение .exe отделено от названия большим количеством пробелов, чтобы скрыть подмену.

После запуска файла пользователю отображается поддельный протокол «служебного расследования». В отличие от предыдущих кампаний, вредоносный код активируется только на компьютерах с русской раскладкой клавиатуры, что указывает на целенаправленность атак против русскоязычных жертв.

Группа BO Team, известная также как Black Owl, Lifting Zmiy и Hoody Hyena, действует с начала 2024 года. Она специализируется на уничтожении ИТ-инфраструктуры жертв, а в некоторых случаях применяет шифрование данных и вымогательство. Среди основных целей — государственные структуры и крупные предприятия.

Легенды писем подбираются индивидуально под каждую жертву. В одном из случаев сообщалось о якобы обнаруженных нарушениях при использовании полиса ДМС. Во вложении находился исполняемый файл, замаскированный под PDF-документ.

Код BrockenDoor был полностью переписан на языке C#, что упрощает для злоумышленников процесс разработки и позволяет использовать доступные средства обфускации. Команды в новой версии сокращены до двух-трёх символов, что осложняет их анализ.

Функциональность бэкдора осталась прежней: он собирает системные данные — имя пользователя и компьютера, версию операционной системы, список файлов на рабочем столе. Информация передаётся на сервер злоумышленников, где принимается решение о дальнейшем развитии атаки.

Дополнительно BrockenDoor применялся для установки обновлённой версии другого инструмента BO Team — бэкдора ZeronetKit, написанного на языке Go. В него были добавлены новые команды для сетевой коммуникации.

По оценке специалистов, в этой кампании хактивисты обновили свои инструменты и адаптировали каждое письмо под конкретную цель. Документы-приманки имитировали юридические бумаги и призывали жертву срочно ознакомиться с содержанием.