Для атак на российский бизнес и госсектор используют целевой фишинг

Группа хактивистов BO Team, также известная как Black Owl, Lifting Zmiy и Hoody Hyena, заявила о себе в начале 2024 года. В основном она занимается уничтожением ИТ-инфраструктуры жертвы, а в некоторых случаях шифрованием данных и вымогательством. Это серьёзная угроза, нацеленная как на максимальное нанесение ущерба атакованной организации, так и на извлечение финансовой выгоды. Cреди основных мишеней злоумышленников — госсектор и крупные предприятия.

Для получения первоначального доступа атакующие используют фишинговые рассылки с вредоносными вложениями. Если открыть прикреплённый файл, запускается цепочка компрометации. В результате в системе жертвы выполняется один из распространённых бэкдоров: DarkGate, BrockenDoor или Remcos.

Целевой фишинг сопровождается тщательно спланированной кампанией социальной инженерии. В некоторых случаях группа мимикрирует под реально существующую организацию, которая специализируется на автоматизации технологических процессов. Эта компания выбрана не случайно: её род деятельности создаёт правдоподобный контекст для обращения к потенциальным жертвам в государственном, технологическом и энергетическом секторах. Для прикрытия используются и другие организации.

Некоторые вредоносные вложения, приводящие к запуску BrockenDoor, не только инициируют загрузку зловреда, но и открывают документ-приманку. Так, в одном из случаев для отвлечения жертвы использовался PDF-файл, имитирующий сопроводительное письмо от поддельной организации. Документ якобы содержал детали коммерческого предложения, что создавало иллюзию легитимности происходящего. Параллельно образец из вложения открывал в браузере страницу одного из популярных онлайн-сервисов по проверке контрагентов. Сайт содержал информацию о реально существующей компании, под которую мимикрировали злоумышленники. Таким образом они усиливали доверие к своей рассылке, что могло снизить уровень настороженности у жертвы и помогало успешно завершить начальный этап атаки.

После получения первоначального доступа к целевым системам злоумышленники полагаются в развитии атаки на встроенные средства операционной системы Windows. Они маскируют свои инструменты и процедуры под легитимное ПО, присваивая вредоносным компонентам имена, схожие с системными или общеизвестными исполняемыми файлами. Такой подход позволяет BO Team минимизировать следы присутствия и обойти часть защитных механизмов. Для обеспечения постоянного доступа к скомпрометированной инфраструктуре атакующие применяют ряд техник закрепления, одна из которых — создание запланированных задач в операционной системе Windows. Для повышения привилегий злоумышленники используют ранее скомпрометированные учётные записи, принадлежащие штатным сотрудникам организации.

После компрометации целевых систем BO Team уничтожает резервные копии файлов и виртуальную инфраструктуру компании, а также удаляет данные с хостов с помощью популярной утилиты SDelete. В отдельных случаях злоумышленники дополнительно используют шифровальщик Babuk, чтобы потребовать от жертвы выкуп.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!