Проукраинская хакерская группа BO Team угрожает российским компаниям разрушением инфраструктуры и вымогательством

Основная цель BO Team - нанесение максимального ущерба инфраструктуре жертв. Группа использует фишинговые рассылки, маскируясь под реальные компании (например, в сфере автоматизации или энергетики), чтобы доставить вредоносные вложения. При открытии вложения запускаются бэкдоры DarkGate, BrockenDoor или Remcos, обеспечивающие злоумышленникам первоначальный доступ.

В отличие от многих проукраинских хактивистских групп, BO Team выделяется уникальным инструментарием и тактиками (TTP). После закрепления в системе (часто через создание задач вроде "MicrosoftEdgeUpdate") и сбора данных (включая дампы LSASS и кражу учетных записей с помощью HandleKatz, NanoDump, ntdsutil) группировка переходит к разрушительным действиям. Она активно использует утилиту SDelete для безвозвратного удаления данных, резервных копий и виртуальной инфраструктуры. В некоторых случаях применяется шифровальщик Babuk для Windows с требованием выкупа, сопровождаемый удалением теневых копий через vssadmin.

BO Team демонстрирует высокий уровень подготовки, используя техники Living off the Land (LotL) для маскировки (легитимные PowerShell, wmic, schtasks), обхода защиты и сокрытия следов (манипуляции с метками файлов, удаление логов). Их инструменты маскируются под системные процессы (xwizards.exe, wgl.exe, procexp64.exe и др.).

Группировка открыто заявляет об успешных атаках в своем Telegram-канале, сочетая психологическое давление с самопозиционированием. Хотя BO Team относится к проукраинскому хактивистскому кластеру, анализ указывает на ее высокую автономность - группировка действует самостоятельно, используя собственные ресурсы и нестандартные для кластера инструменты, такие как BrockenDoor и Babuk. Временной интервал между проникновением и атакой у BO Team может достигать месяцев, что нетипично для хактивистов.

Исследование Лаборатории Касперского подчеркивает, что BO Team представляет собой серьезную и технологически оснащенную угрозу для российского бизнеса, требующую повышенного внимания к защите от сложных фишинговых атак и разрушительных действий внутри сети. Все обнаруженные инциденты с участием группы зафиксированы исключительно на территории России.

IPv4

• 193.124.33.172
• 193.124.33.184
• 194.113.106.51
• 194.190.152.149
• 194.190.152.251
• 194.87.252.171
• 194.87.252.221
• 45.144.30.144

Domains

• dzeninfra.site
• dzeninfra.xyz
• invuln.xyz
• railradman.site
• sso.dzeninfra.site
• sso.dzeninfra.xyz
• wincertfm.store
• wmiadap.cfd
• wmiadap.sbs
• wmiadap.xyz

MD5

• 0010b361f4f599aefe10e49a37af85ba
• 05202240d7d4a00cbe55239ed173c6e5
• 105ab2390e5f9d1d51b9be11f51db883
• 129320d55187af9466000db22e7fac2a
• 1424b7837a2f15654a5d4b73caf570e1
• 20e306869f5741ca23919894ca55fc62
• 26b44188dbbe93eabcf93f446462efd0
• 26df73f85436774aa04e293c619a9961
• 2a3ea25cb6b71c06c141f10905d97742
• 2c9d37c1edbfcac4313f691838130263
• 2d1774df16ae4ab014a75c5e30133a90
• 33f7690769ea899a7e804df67c15db62
• 353302ef3297119ad7e15d131b85c04d
• 35cc88496ddf000694ffe3f0d385386b
• 373b22dca89f57c138c83cb99a6c6120
• 37627532b09b0a3f72df19749558d20b
• 38ad4de5df310c6cf0f274c413770c45
• 40278bfb0de306ec2b81954c7691eaad
• 42a280cecb0e56012e83c23bd7b5afe9
• 45a535e2c3b7e75d6d084def457ae565
• 4793753ef5800f2adc088e359d61b793
• 4932581023a8ce9ee40bebb7bdc0d0aa
• 4c406d91db54765ae7f843ecdb759085
• 4d73fb057eab0cfd19d38feb7e1db8c2
• 56c17b051e98ed20e0ea95ed0f442253
• 59e9ca36e36cfe02b0efe3e230ec68a1
• 5aac8f8629ea001029b18f99eead9477
• 5c8887f6bbfd92134523e8e49c701112
• 5f4b879537af29b224198d4e18399fe7
• 5feefe39dbd8b4a7f06a6062dc6c57be
• 60567d0b90209bcedff4a841bdc086a7
• 64e29fabdc6905ee04f82dbb53880056
• 658b51c867648c45289bd21a113234c4
• 6c3deaa478e0e19c8757e1ba5ba1dd5a
• 6ed7fc14397c4f4fe87080230554a887
• 73834b9bff2daf507da726b1098d3b9a
• 73ff516c0e6979471b24f36ba96e81e7
• 762625af777a9655bbcce8538e69216e
• 78abda180b36b8a0c29cb4e354516c73
• 7b108826350e3a5fb72b5bff3e269b54
• 7d958333b0705834885e45bc720392e0
• 830fec8a9079a3eea95bb55d147a6715
• 8351fa0448a85ffe8bcd1fbef20ed801
• 9b7695bfbff339d78a58eb528e13c784
• 9f1eca64a49c2accf8770e9fd932402a
• a0c0315bc451fcdec26c770c9c0ff2de
• a2210e271dd14f44532d6f86b4487725
• a49d38c87e64077a5eece1262700afd7
• a8e35c05fd6324119b719aca8ab85f57
• a9909f7cbf6e776028934f24fb4c23ee
• aef6e0b2a390af31ada9835c10d0d5ca
• b30e8dbbc9d20d20d1ac44eba44bb04e
• c072a8e594245564d111b650cc348fcb
• c3d5c48e7e8cd11ab662dcb832088341
• c99e34cac21fefe10eaf3303ff447131
• cab999df17597905d9fba571f4820e5c
• d0d5e6dffa4b5863c8222cf6819014c6
• d1731317af07655e5abe5d0eb50eb8cb
• d4fdd7962677cca27096a9d656dc6b11
• e3c9308a8475ae5812d0987c4f7c671f
• e5b120a763afdceeb4c0d028bbcd9d7c
• e66f77c9834827e3657a5d9ed4cda9f8
• ee2e6a3cd470494d3d3197564bdd5075
• eed9223ff9bc5a20f5fa6114aa9cc6be
• fc2636f8847b1f2d8bdc78bbf684add3