Обновленные инструменты группировки BO Team

Введение

В начале сентября мы обнаружили новую вредоносную рассылку группы BO Team с использованием запароленных RAR-архивов. В фишинговых письмах говорилось о проведении служебного расследования, связанного со злоупотреблением использования полисов ДМС. В ходе анализа мы обнаружили, что BO Team обновила свой инструментарий: теперь атакующие рассылают новую версию бэкдора BrockenDoor, переписанную на C#, а также используют его для установки обновленной версии бэкдора ZeronetKit.

BO Team — это одна из активных на текущий момент группировок хактивистов, существующих как минимум с начала 2024 года. Она нацелена на российские компании. Ранее мы рассказывали об инструментах и методиках, используемых этой группой на протяжении последних двух лет.

Новая кампания

В новой кампании, зафиксированной в сентябре 2025 года, группировка BO Team продолжает использовать фишинговые письма для заражения пользователей. Так, например, один из вредоносных образцов мы обнаружили во вложении письма, в котором получателю угрожали служебным расследованием, якобы связанным с обращениями по полису ДМС. Вложенный RAR-архив с именем Приказ_протокол.rar был защищен паролем для предотвращения автоматического сканирования антивирусом, при этом пароль предположительно указан в теле письма.

Внутри архива содержится исполняемый файл с иконкой PDF-файла и расширением .exe, отделенным от имени файла большим количеством пробелов — таким образом, в проводнике содержимое архива выглядит как вполне легитимный документ.

Пример содержимого архива

Запустив вредоносный файл, пользователь видит документ-приманку. Этот документ представляет собой фальшивый протокол проведения служебного расследования, связанного с использованием услуг ДМС.

В отличие от образцов из предыдущих кампаний, новая версия вредоносного файла не запустится, если в системе не установлена русская раскладка клавиатуры.

Документ-приманка

Новая версия BrockenDoor

Исполняемый файл — это модифицированная версия бэкдора BrockenDoor. Его функциональность не претерпела значительных изменений, однако основной вредоносный код был полностью переписан на языке C#. Список команд бэкдора практически идентичен тому, что мы описывали ранее, хотя в этой версии вместо полных названий команд используются сокращения до двух-трех символов. Так, например, команда set_poll_interval стала называться spi, а run_program — rp.

Бэкдор ZeronetKit

В одном из случаев в качестве полезной нагрузки BrockenDoor загружал и выполнял ZeronetKit. Это бэкдор, написанный на Go, который используется в атаках группы BO Team. Он получил свое название за строку ZeroNet by Vegas, присутствующую в ранних версиях. ZeronetKit был впервые обнаружен в конце 2024 года, и его функциональность сводилась к четырем командам.

Взаимодействие с С2 обеспечивается по протоколам HTTPS и WebSocket, а для разделения потоков данных внутри соединения используется библиотека Yamux (Yet another Multiplexer).

В июне 2025 года появилась обновленная версия ZeronetKit (6fe8943f364f6308c2e46910bffefeaf), в которую были добавлены команды с номерами 0x18 и 0x22.

В сентябре 2025 года мы зафиксировали попытку BrockenDoor скачать новую версию бэкдора ZeronetKit (12772caa05f2c28ebe8c99abb35ac39c). Для этого BrockenDoor вызывал PowerShell с командной строкой, полученной от С2. Как и в предыдущей версии, базовые настройки взаимодействия с С2 и список доменов, использующихся в качестве С2, хранятся в исходном исполняемом файле. Однако теперь при запуске бэкдор проверяет наличие ключей реестра beh и ad в HKCU\Software\Windows\Applets\Config и, если они существуют, данные из них используются в качестве списка С2 и интервала взаимодействия. Эти данные обновляются при помощи соответствующих команд (0x22 и 0x24). Если ключи реестра не обнаружены, используются базовые настройки. Команда под номером 0x18 по-прежнему присутствует, однако теперь представляет собой заглушку. Кроме того, были добавлены две новые команды (0x26 и 0x29), тем не менее они также не реализуют вредоносных действий.

ZeronetKit не способен самостоятельно закрепляться в зараженной системе, поэтому злоумышленники при помощи BrockenDoor копируют скачанный бэкдор в автозагрузку.

Заключение

Мы продолжаем отслеживать активность группы BO Team. В своей последней кампании злоумышленники обновили инструментарий: уже знакомый нам бэкдор BrockenDoor был переписан на C#, а в зловред ZeronetKit, также известный с 2024 года, были добавлены новые команды для сетевой коммуникации.

Жертвами этих атак стали российские компании в различных сферах. Злоумышленники представлялись поставщиками услуг страхования и банковскими организациями. При этом стоит отметить, что фишинговые письма, ставшие вектором проникновения в инфраструктуру пострадавших компаний, а также документы-приманки, скорее всего, создавались под конкретные цели: атакующие не использовали типовые шаблоны, а адаптировали вложения в каждой атаке под юридические документы, призывая жертву срочно ознакомиться с их содержанием.

Для защиты от этой угрозы мы рекомендуем применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя надежную защиту рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в уровнях новой линейки продуктов для защиты бизнеса Kaspersky Symphony.

Индикаторы компрометации

Хэши файлов

BrockenDoor .NET

ZeronetKit

Сетевые индикаторы

BrockenDoor C&C
213.165.60[.]118

ZeronetKit C&C
invuln[.]xyz
lizzardsnails[.]online
railradman[.]site
easybussy[.]space
urbantvpn[.]online
icecoldwind[.]online
wholewell[.]online

URL-адреса
hxxps://mgutu-vf[.]ru/js/scripts/msfch.zip
hxxps://mgutu-vf[.]ru/js/scripts/msfch.exe
hxxps://mgutu-vf[.]ru/js/scripts/msfch5.exe
hxxps://mgutu-vf[.]ru/js/scripts/msfch3.exe
hxxps://mgutu-vf[.]ru/js/scripts/msfch15.exe