Совместные атаки хактивистов усложняют кибератрибуцию

В рамках исследования киберугроз, нацеленных на российские организации, аналитики изучили серию инцидентов, публично заявленных проукраинской группировкой 4BID. На поражённой инфраструктуре также были обнаружены следы активности известных групп BO Team и Red Likho.

Группа 4BID заявила о себе в начале 2025 года, ведя основную активность через Telegram-канал. Изначально её целями были небольшие региональные компании, но позже фокус сместился на крупные предприятия в производственном, медицинском и государственном секторах. При этом на одних и тех же поражённых системах эксперты находили как программу-вымогатель от 4BID, так и бэкдоры GoRed (связанный с Red Likho) и ZeronetKit (инструмент BO Team). Это указывает либо на параллельное заражение, либо на совместные действия групп для достижения общих целей. Подобный гибридный подход, сочетающий деструктивные атаки с элементами кибершпионажа, становится новой нормой в хактивизме.

Технический анализ выявил сложный механизм атак. Первичное заражение часто начиналось с PowerShell-скрипта Edgeupdate.ps1, ранее не встречавшегося в публичных репозиториях. Этот скрипт действовал по принципу логической бомбы, проверяя системное время перед выполнением. Затем он блокировал устройства ввода, создавал скрытую учётную запись администратора и настраивал автовход. Ключевым этапом было копирование вредоносной библиотеки NPLogon.dll, которая после перезагрузки системы запускала ложный процесс обновления для маскировки. Основная вредоносная нагрузка извлекалась из файла update.dat.

Этой нагрузкой в кампаниях 4BID оказался новый шифровальщик, названный экспертами Blackout Locker. Он написан на C/C++ и не имеет отношения к более раннему вымогателю Blackout. Перед шифрованием троянец массово завершает процессы и службы, которые могут ему помешать, включая компоненты антивирусов и систем резервного копирования. Интересно, что в первой версии использовалось нестабильное XOR-шифрование с псевдослучайной последовательностью, что фактически превращало его в вайпер для необратимого уничтожения данных. Более поздняя версия была доработана и использует корректное AES-шифрование, что позволяет восстановить файлы при наличии ключа.

В некоторых инцидентах также был обнаружен шифровальщик Babuk, чей код давно находится в открытом доступе. Помимо этого, злоумышленники применяли кастомные скрипты для автоматического поиска в корпоративной сети программ удалённого доступа вроде AnyDesk или продуктов "Лаборатории Касперского". Для закрепления в системе и скрытного управления использовались стандартные бэкдоры Cobalt Strike, а также специализированные инструменты групп: ZeronetKit от BO Team и GoRed от Red Likho.

Злоумышленники применяли широкий спектр техник для повышения привилегий, обхода защиты и удаления следов. В частности, они отключали защиту Microsoft Defender в реальном времени, изменяли реестр для упрощения доступа через RDP, использовали утилиты для дампа учётных данных из памяти LSASS и баз Active Directory, а также массово очищали журналы событий Windows. Наличие инструментов нескольких групп в одной инфраструктуре создаёт сложную картину для расследования. Например, в апреле 2025 года участник 4BID публично предлагал сотрудничество группе BO Team в Telegram, а позже в атаках 4BID был замечен "фирменный" бэкдор BO Team ZeronetKit.

Таким образом, текущий ландшафт хактивизма демонстрирует эволюцию в сторону большей гибкости и кооперации. Группы не только разрабатывают собственные инструменты, но и активно используют доступные средства, заимствуют наработки друг у друга и могут действовать сообща. Эта тенденция ведёт к росту частоты, масштаба и технической сложности кибератак, требуя от защитных команд повышенного внимания к деталям инцидентов и комплексного подхода к анализу угроз. Классическая атрибуция, основанная на уникальных TTP одной группы, в таких условиях становится чрезвычайно трудной задачей.

IPv4

• 144.172.112.179
• 82.202.173.167

Domains

• op2a.beemooshka-v1.art
• urbantvpn.online
• wholewell.online

MD5

• 0e6578dc4f95565c1426e3f188d36460
• 0efeb6b9699b7fbebf5e0657a14c7f88
• 2d85fb64f37e78913c20ee9c886d33be
• 32f9c7fb69bb7ee76e19f4bbee16f4b3
• 5470dd5e57d0060d98891d8f5740e5b2
• 6fe8943f364f6308c2e46910bffefeaf
• 71612ebcc591b2475d3488e5580db56a
• 8b66d1eda2f1e0a858e0747307552e0b
• 925eea2692c4d8dec9b8f1c94a8c8229
• bdc4fd7329e5f5baa7964b24c61171fd
• d528158a6459a71a33e3c05a606b6b33
• e5b2e603861e8e01b7a03122280f2e90
• eeda5a1a503233f6de3eac3f34cabc2f
• f812bdaecdcec818d015b1a8d1d21c40