Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Bo Team: фишинговая кампания с C# Broeckendoor и Zeronetkit

4
3 мин
В сентябре 2025 года группа Bo Team запустила новую фишинговую кампанию, направленную на распространение вредоносного ПО. Анализ недавней активности показывает сочетание тщательно подготовленных социально-инженерных сообщений и модернизированных инструментов бэкдора — комбинация, которая повышает риск успешных атак и осложняет обнаружение вредоносной активности на целевых системах. Атака начинается с рассылки вводящих в заблуждение информационных бюллетеней, якобы связанных с официальным расследованием злоупотребления политикой DMS. Письма побуждают получателей открыть вложение — защищённый паролем RAR-архив с именем «The order_protokol.rar». Пароль к архиву удобно указывается в теле письма, что позволяет обойти автоматические механизмы антивирусной проверки при загрузке содержимого. Одной из ключевых особенностей кампании стало существенное обновление бэкдора Broeckendoor. Ранее известный инструмент был переписан на C#, при этом сохранив большую часть функциональности оригинала. Среди
Оглавление
Источник: securelist.ru
Источник: securelist.ru

В сентябре 2025 года группа Bo Team запустила новую фишинговую кампанию, направленную на распространение вредоносного ПО. Анализ недавней активности показывает сочетание тщательно подготовленных социально-инженерных сообщений и модернизированных инструментов бэкдора — комбинация, которая повышает риск успешных атак и осложняет обнаружение вредоносной активности на целевых системах.

Как работает атака

Атака начинается с рассылки вводящих в заблуждение информационных бюллетеней, якобы связанных с официальным расследованием злоупотребления политикой DMS. Письма побуждают получателей открыть вложение — защищённый паролем RAR-архив с именем «The order_protokol.rar». Пароль к архиву удобно указывается в теле письма, что позволяет обойти автоматические механизмы антивирусной проверки при загрузке содержимого.

  • Социальная инженерия: фальшивые рассылки под видом официальных бюллетеней;
  • Техническая уклончивость: использование защищённых паролем RAR-архивов для снижения возможности автоматического сканирования;
  • Целевая доставка полезной нагрузки второго этапа после распаковки и запуска вложения.

Broeckendoor — переписанный бэкдор на C#

Одной из ключевых особенностей кампании стало существенное обновление бэкдора Broeckendoor. Ранее известный инструмент был переписан на C#, при этом сохранив большую часть функциональности оригинала. Среди заметных изменений:

  • Перевод реализации на C#, что может затруднить анализ для тех, кто ориентирован на предыдущие версии;
  • Изменение номенклатуры команд: длинные опции сокращены до двух–трёх символов для запутывания систем обнаружения. Примеры:set_poll_interval → spi
    run_program → rp
  • Broeckendoor теперь служит загрузчиком для дальнейших полезных нагрузок.

Zeronetkit — полезная нагрузка второго этапа

В качестве второй стадии в операциях Bo Team широко используется Zeronetkit. Этот модуль, впервые обнаруженный в конце 2024 года, написан на Go и обладает ограниченным набором функций — всего четырьмя — которые в основном ориентированы на сетевое взаимодействие.

  • Минималистичный функционал: ограниченное число команд, достаточное для организации сетевого канала управления;
  • Название отражает исторические ссылки на ZeroNet и ранние версии «Vegas», что указывает на эволюцию инструментария;
  • Используется через Broeckendoor как нагрузка второго этапа после успешной компрометации.
«Группа Bo Team активно совершенствует свои киберинструменты и стратегии, сочетая фишинг как основной вектор первоначального заражения с улучшенными возможностями вредоносного ПО» — ключевой вывод недавнего анализа.

Показатели компрометации (IOCs)

  • Имя вложения: «The order_protokol.rar» (RAR-архив, защищён паролем, пароль указан в тексте письма);
  • Основной бэкдор: Broeckendoor (новая реализация на C#);
  • Сокращённые команды: spi, rp и другие двух- или трёхсимвольные опции;
  • Полезная нагрузка второго этапа: Zeronetkit (написан на Go, сетевые функции — 4 команды);
  • Временная привязка: активность замечена в сентябре 2025 года; первая фиксация Zeronetkit — конец 2024 года.

Рекомендации по защите

Учитывая характер кампании, эксперты по кибербезопасности рекомендуют следующие меры:

  • Повысить осведомлённость сотрудников: специализированные тренинги по распознаванию фишинговых рассылок и правил работы с вложениями;
  • Блокировать и анализировать RAR-вложения на уровне шлюза и почтовых фильтров; запрещать открытие архивов с паролем без подтверждённой потребности;
  • Настроить EDR/NGAV на базу поведения — отслеживание нехарактерного запуска процессов, сетевых соединений и загрузчиков;
  • Добавить детекцию коротких команд и аномальной номенклатуры в аналитические правила (SIG, YARA, hunting-процессы);
  • Мониторить исходящую сетевую активность на предмет команд и соединений, характерных для Zeronetkit;
  • Обмениваться IOC и информацией о тактиках с сообществом и партнёрскими CERT/ISAC.

Вывод

Кампания Bo Team демонстрирует сочетание классических методов социальной инженерии и эволюции вредоносного ПО: фишинговые рассылки с защищёнными архивами служат входной точкой, а обновлённый Broeckendoor на C# и Zeronetkit обеспечивают устойчивую постэксплуатацию. Такая адаптивность группы увеличивает сложность обнаружения и требует постоянного мониторинга, обновления методов детекции и проактивных мер защиты со стороны организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Bo Team: фишинговая кампания с C# Broeckendoor и Zeronetkit".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются