Хактивисты BO Team атакуют госсектор России через фишинг и удалённый доступ

Хактивисты BO Team атакуют госсектор России через фишинг и удалённый доступ

Хактивисты BO Team атакуют госсектор России через фишинг и удалённый доступ

С середины 2024 года в России фиксируются кибератаки на госсектор и бизнес со стороны группы хактивистов под названием BO Team. Они действуют довольно изощрённо — используют целевой фишинг и приёмы социальной инженерии, чтобы получить доступ к внутренним системам.

Кто такие BO Team

Группу ещё называют Black Owl, Lifting Zmiy или Hoody Hyena. О ней впервые стало известно в начале 2024 года — хактивисты публиковали заявления через Telegram.

 

Судя по их действиям, основной интерес — разрушение ИТ-инфраструктуры жертвы, иногда с добавлением вымогательства и шифрования данных. Бьют по крупным целям — государственным учреждениям и большим компаниям из сферы ИТ, связи и производства.

Как начинается атака

Как отмечается в отчёте «Лаборатории Касперского», атакующие рассылают письма с вредоносными вложениями. Если кто-то из сотрудников открывает файл — запускается цепочка заражения. В результате в систему попадает бэкдор, то есть программа для скрытого удалённого управления компьютером. Чаще всего — DarkGate, BrockenDoor или Remcos.

Фишинг подаётся очень правдоподобно. Например, хакеры могут прикинуться настоящей компанией, которая занимается автоматизацией техпроцессов — логично, ведь такие фирмы часто взаимодействуют с потенциальными жертвами. Кроме того, используют и другие подставные «отправители», чтобы сделать письмо ещё более убедительным.

 

Чем прикрываются

Чтобы не вызвать подозрений, вредоносный файл может сопровождаться документом-приманкой. Например, PDF с якобы коммерческим предложением от вымышленной организации. Бывает, что вместе с этим открывается веб-страница настоящего онлайн-сервиса проверки контрагентов — и на ней действительно есть информация о «псевдокомпании», от имени которой пришло письмо. Всё это делается, чтобы снизить настороженность у получателя.

Что происходит после заражения

Когда хакеры получают доступ, они стараются не светиться. Используют стандартные средства Windows, маскируют вредоносные файлы под обычные системные, закрепляются в системе через задачи, запускающиеся по расписанию, и используют взломанные учётки сотрудников для повышения прав доступа.

Какой вред наносят

На следующем этапе злоумышленники удаляют резервные копии, уничтожают виртуальные машины, затирают данные с помощью утилит вроде SDelete. Иногда поверх этого ещё и запускают шифровальщик, чтобы потребовать выкуп.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенник обманул сотрудников магазина под видом технического специалиста

Управление по организации борьбы с неправомерным использованием информационно-коммуникационных технологий МВД России (УБК МВД) сообщило о необычной схеме мошенничества, жертвой которой стали сотрудники одного из магазинов. Злоумышленник представился сотрудником технической службы эквайринговой компании.

Подробности УБК МВД опубликовало в телеграм-канале «Вестник киберполиции России». Мошенник использовал легенду о проверке мобильных терминалов, применяемых для приёма платежей по банковским картам.

Он позвонил директору магазина и, представившись специалистом эквайринговой компании, потребовал провести «тестовую операцию». Для этого руководителю предложили перевести деньги со своего счёта на указанный номер карты.

Аферист уверял, что средства вернутся через 15–20 минут, а для убедительности попросил отправить чек об оплате через облачный сервис для обмена файлами.

Как отметили в УБК МВД, в ходе атаки мошенник использовал сразу несколько приёмов социальной инженерии. Во-первых, для придания звонку официального статуса он настоял, чтобы действия выполнял не рядовой сотрудник, а директор.

Во-вторых, создал ситуацию срочности, вынудив провести «проверку» немедленно, без возможности перепроверить информацию. И, наконец, сам повод выглядел правдоподобно, ведь магазины действительно периодически взаимодействуют с эквайринговыми компаниями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru