<div id="post_message_794529">

С середины 2024 года в России фиксируются кибератаки на госсектор и бизнес со стороны группы хактивистов под названием BO Team. Они действуют довольно изощрённо — используют целевой фишинг и приёмы социальной инженерии, чтобы получить доступ к внутренним системам. <br/>
<br/>
<b>Кто такие BO </b><br/>
<br/>
Team Группу ещё называют Black Owl, Lifting Zmiy или Hoody Hyena. О ней впервые стало известно в начале 2024 года — хактивисты публиковали заявления через Telegram.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl4.joxi.net/drive/2025/05/30/0048/3474/3202450/50/b9b5a32fc3.jpg"/><br/>
<br/>
Судя по их действиям, основной интерес — разрушение ИТ-инфраструктуры жертвы, иногда с добавлением вымогательства и шифрования данных. Бьют по крупным целям — государственным учреждениям и большим компаниям из сферы ИТ, связи и производства.<br/>
<br/>
<b>Как начинается атака</b><br/>
<br/>
Как отмечается в <a href="https://securelist.ru/bo-team/112753/" target="_blank">отчёте </a>«Лаборатории Касперского», атакующие рассылают письма с вредоносными вложениями. Если кто-то из сотрудников открывает файл — запускается цепочка заражения. В результате в систему попадает бэкдор, то есть программа для скрытого удалённого управления компьютером. Чаще всего — DarkGate, BrockenDoor или Remcos.<br/>
<br/>
Фишинг подаётся очень правдоподобно. Например, хакеры могут прикинуться настоящей компанией, которая занимается автоматизацией техпроцессов — логично, ведь такие фирмы часто взаимодействуют с потенциальными жертвами. Кроме того, используют и другие подставные «отправители», чтобы сделать письмо ещё более убедительным.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/05/30/0048/3474/3202450/50/0654d716a3.jpg"/><br/>
<br/>
<b>Чем прикрываются</b><br/>
<br/>
Чтобы не вызвать подозрений, вредоносный файл может сопровождаться документом-приманкой. Например, PDF с якобы коммерческим предложением от вымышленной организации. Бывает, что вместе с этим открывается веб-страница настоящего онлайн-сервиса проверки контрагентов — и на ней действительно есть информация о «псевдокомпании», от имени которой пришло письмо. Всё это делается, чтобы снизить настороженность у получателя.<br/>
<br/>
<b>Что происходит после заражения </b><br/>
<br/>
Когда хакеры получают доступ, они стараются не светиться. Используют стандартные средства Windows, маскируют вредоносные файлы под обычные системные, закрепляются в системе через задачи, запускающиеся по расписанию, и используют взломанные учётки сотрудников для повышения прав доступа. <br/>
<br/>
<b>Какой вред наносят </b><br/>
<br/>
На следующем этапе злоумышленники удаляют резервные копии, уничтожают виртуальные машины, затирают данные с помощью утилит вроде SDelete. Иногда поверх этого ещё и запускают шифровальщик, чтобы потребовать выкуп.<br/>
<br/>
<a href="https://www.anti-malware.ru/news/2025-05-30-111332/46211" target="_blank">@ Anti-Malware</a>
</div>