Ресерчеры Лаборатории Касперского расчехлили проукраинскую группу хактивистов BO Team, также известную как Black Owl, Lifting Zmiy и Hoody Hyena, которая отметилась серией разрушительных атак, в том числе с шифрованием данных, нацеленных на российские компании.

При этом BO Team помимо таргетирования на максимальное нанесение ущерба жертве, группа преследует цели по извлечению финансовой выгоды.

Группировка BO Team впервые заявила о себе в начале 2024 года через ТГ-канал, в котором обозначила свою позицию в контексте российско-украинского конфликта, что позволяет обоснованно отнести данную группировку к проукраинской стороне конфликта.

Для получения первоначального доступа злоумышленники используют фишинговые рассылки с вредоносными вложениями, которые реализуют цепочку заражения с полезной нагрузкой в виде бэкдоров: DarkGate, BrockenDoor и Remcos.

Группа мимикрирует под реально существующую компанию, которая специализируется на автоматизации технологических процессов, создавая тем самым правдоподобный контекст для обращения к потенциальным жертвам в государственном, технологическом и энергетическом секторах.

Для маскировки отправителя используются поддельные домены, стилизованные под домены легитимных компаний. При этом злоумышленники постоянно совершенствуют свои инструменты. 

После получения первоначального доступа к целевым системам злоумышленники из BO Team используют технику Living off the Land (LotL), то есть полагаются на встроенные средства операционной системы Windows в развитии атаки.

Для обеспечения постоянного доступа к скомпрометированной инфраструктуре BO Team применяет ряд техник закрепления, одна из которых - создание запланированных задач в операционной системе Windows.

Анализ показал, что для повышения привилегий атакующие используют ранее скомпрометированные учетные записи, принадлежащие штатным сотрудникам организации.

После компрометации целевых систем BO Team методично уничтожает резервные копии файлов и виртуальную инфраструктуру компании, а также удаляет данные с хостов с помощью популярной утилиты SDelete.

В отдельных случаях злоумышленники дополнительно используют шифровальщик Babuk (для Windows), выдвигая впоследствии требования выкупа.

Про некоторые из своих атак BO Team открыто сообщает посредством Telegram, что служит как элементом психологического давления, так и способом самопиара в медиапространстве хактивистов.

По своим целям, риторике и общему алгоритму действий BO Team схожа с рядом проукраинских хактивистских группировок, появившихся после 2022 года.

Тем не менее, исследователи ЛК в ходе анализа атак зафиксировали инструменты и TTP, не характерные для аналогичных кампаний других хактивистов.

В совокупности артефакты позволяют предположить, что BO Team действует более автономно, обладая собственными ресурсами и подходами к использованию инструментов нежели их коллеги по цеху.

Полный разбор TTPы, инструментария и инфраструктуры BO Team - в отчете.