В первом квартале 2026 года исследователи кибербезопасности зафиксировали резкий всплеск активности группировки BO Team. Эта хакерская группа, известная также под псевдонимами Lifting Zmiy и Hoody Hyena, действует с 2024 года и сосредоточена исключительно на российских целях. Под удар попали десятки отраслей: от оборонного сектора и здравоохранения до розничной торговли и сельского хозяйства. В феврале специалисты выявили новую фишинговую кампанию, в которой злоумышленники использовали критическую уязвимость в пакете Microsoft Office. Данная атака демонстрирует, насколько изощрёнными стали методы социальной инженерии и технической обороны у современных киберпреступников.
Описание
Группировка BO Team отличается широким арсеналом вредоносного ПО. В её распоряжении есть бэкдоры (вредоносные программы для скрытого удалённого управления) BrockenDoor и Reverse SSH, а также программы-загрузчики DarkGate и Remcos. Кроме того, группа использует шифровальщик Babuk, что говорит о готовности не только шпионить, но и вымогать выкуп. География атак - Россия. По данным наблюдений, в первом квартале 2026 года аналитики обнаружили 23 уникальных образца вредоносного кода, связанных с этой командой. Активность распределялась равномерно, с локальным пиком во второй половине февраля и первой декаде марта.
В феврале эксперты компании PT ESC сообщили о фишинговой кампании, направленной против российских организаций. Злоумышленники эксплуатировали уязвимость CVE-2026-21509 в Microsoft Office. Этот дефект позволяет обходить встроенные механизмы защиты при обработке OLE-компонентов (технология связывания и внедрения объектов). Атакующие рассылали RTF-документы (формат с расширенным текстовым форматированием), которые маскировались под официальную переписку федерального ведомства. Документ назывался "АКТ проверки транспортного средства" и содержал приложенную форму "Письменные пояснения по делу об административном правонарушении". Пользователь, открывавший такой файл, не подозревал, что запускает цепочку заражения.
Техническая реализация атаки выглядит сложной, но эффективной. Внутри RTF-документа размещается OLE-объект с идентификатором CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B. Этот CLSID соответствует элементу Shell.Explorer.1 - компоненту Internet Explorer, который может выполнять команды. Данные объекта упакованы в OLE-хранилище; в стриме CONTENTS находится специально сформированный LNK-ярлык (файл-ссылка). Ярлык указывает на удалённый ресурс: \\rostransnadzor.digital@SSL\svn\58\АКТ проверки транспортного средства.lnk. Суффикс @SSL активирует WebDAV-редиректор Windows (службу WebClient). Обычный UNC-путь преобразуется в HTTPS-запрос к внешнему серверу. Таким образом, после открытия документа система автоматически обращается к удалённому серверу злоумышленников. Уязвимость CVE-2026-21509 как раз и делает возможным запуск этого COM-объекта без лишних предупреждений.
На момент проведения анализа удалённый LNK-ярлык уже был недоступен, поэтому восстановить полную последовательность второй стадии атаки не удалось. Однако специалисты уверены: загрузка проводила бы к внедрению бэкдора или программы-вымогателя. Принадлежность кампании к BO Team подтверждается несколькими косвенными признаками. В SOA-записи (записи о зоне домена) для домена rostransnadzor.digital в поле RNAME указан контактный электронный адрес gjegoshcappaniesh@gmail.com. Тот же почтовый ящик использовался при регистрации других доменов, ранее ассоциированных с этой группировкой. Кроме того, имя вредоносного файла "АКТ проверки транспортного средства" совпадает с именем образца, который ранее классифицировали как BrockenDoor - основной бэкдор BO Team. В смежных рассылках применялся домен с едва заметным отличием: rostransnnadzor.ru (сдвоенная буква "н"). Очевидно, группа активно использует приёмы подмены веб-адресов и легитимных ресурсов.
Последствия такой атаки могут быть катастрофическими для любой организации. Проникновение через фишинговый документ даёт злоумышленникам начальную точку опоры внутри сети. Далее они могут закрепиться, украсть учётные данные, парализовать работу систем или похитить конфиденциальную информацию. Учитывая, что целями BO Team являются не только государственные учреждения, но и оборонные предприятия, нефтегазовый сектор и телекоммуникации, последствия утечки данных могут иметь стратегическое значение.
Специалистам по информационной безопасности стоит уделить особое внимание защите от подобных угроз. Прежде всего, необходимо своевременно обновлять пакет Microsoft Office и операционную систему. Уязвимость CVE-2026-21509 должна быть закрыта соответствующими патчами. Также следует ограничить работу службы WebClient, которая используется для преобразования UNC-путей в HTTPS. Если в организации нет необходимости в WebDAV-доступе, эту службу лучше отключить. Кроме того, стоит усилить фильтрацию входящей почты: блокировать RTF-документы с признаками подозрительных макросов или OLE-объектов.
В целом, активность BO Team отражает общую тенденцию: хакеры всё чаще комбинируют социальную инженерию с эксплуатацией свежих уязвимостей. Фишинговые атаки с использованием вредоносных вложений остаются одним из главных векторов проникновения в корпоративные сети. Бдительность сотрудников и технические средства защиты - лучший барьер против таких угроз. Специалистам PT ESC удалось вовремя зафиксировать кампанию и предупредить о рисках, но расслабляться не стоит: злоумышленники быстро адаптируются и видоизменяют свои тактики.
Индикаторы компрометации
Domains
- cappa.fun
- cccb-crimea.ru
- cryptoprot.info
- oncology-aviamed.ru
- oncology-center.ru
- resumecvmaker.ru
- rostransnadzor.digital
- rostransnnadzor.ru
- vekas-automation.site
MD5
- 823a9143613e9a107edb337214f1942b
- e0d883fa1a601b2fd7b08ba300d7e6f8
