Ресерчеры Лаборатории Касперского отметили новые элементы в ат | SecAtor

Ресерчеры Лаборатории Касперского отметили новые элементы в атаках хактивистских группировок 4BID, BO Team и Red Likho, где «один за всех и все за одного».

По данным ЛК, в последние месяцы наблюдается растущая тенденция к синхронным атакам нескольких хактивистов на одни и те же организации.

Подобные кампании уже не являются чем-то необычным и значительно усложняют атрибуцию, поскольку становится сложно идентифицировать TTPs конкретных групп.

В рамках исследования ландшафта киберугроз, нацеленных на российский сегмент, в ЛК подробно изучили серию кампаний, о которых публично заявляла проукраинская группа 4BID.

В системах их жертв удалось задетектить артефакты, связанные с активностью двух других известных групп хактивистов: BO Team и Red Likho.

В частности, в некоторых случаях атакованная 4BID инфраструктура также была заражена бэкдором GoRed, связанным с Red Likho, и ZeronetKit, атрибутированным к BO Team.

Обе группы известны проведением широко масштабных операций в отношении российских компаний.

Исследователи отмечают, что 4BID заявили о себе в начале 2025 года, медийно освещая свои атаки в Telegram-канале.

Злоумышленники атакуют российские организации в сфере промышленности, здравоохранения и госсекторе.

Причем изначально 4BID выбирала цели малого калибра, атакуя небольшие региональные компании, однако позже группа переключилась на более крупные предприятия.

Наличие в инфраструктуре жертв инструментария сразу нескольких групп (ransomware 4BID, бэкдоры BO Team и Red Likho, а также другие уникальные компоненты) свидетельствует об общем целеполагании и глубокой кооперации проукраинского кластера угроз.

В новом отчете исследователи ЛК раскрывают технические подробности наблюдаемой активности 4BID и ее пересечения с другими хактивистами.

Из наиболее интересных находок - пакет из нескольких файлов, каждый из которых отвечает за определенные задачи и запускает следующий.

Причем первый PowerShell-скрипт Edgeupdate.ps1 ранее не встречался в публичных репозиториях вредоносных ПО и не был замечен в других атаках, что позволяет предположить, что это специализированный инструмент, вероятно, разработанный для конкретной кампании.

Он выполнял ряд скрытых деструктивных операций для защиты от обнаружения и закрепления в системе (ведение журнала, блокировка устройств ввода, создание и добавление пользователя в группу локальных администраторов, загрузка в безопасном режиме с поддержкой сети, отключение протокола ms-contact-support и под завершение - удаление следов своей работы с перезагрузкой и фейковым экраном обновления).

В атаках 4BID также был найден образец новой программы-вымогателя, который назвали Blackout Locker.

Он написан на C/C++ и, несмотря на сходство имени, не имеет ничего общего с шифровальщиком Blackout.

В зависимости от версии, эта программа-вымогатель реализует различные схемы шифрования: некоторые варианты используют простой цикл XOR, другие - шифр AES в режиме GCM.

Кроме того, среди примечательных артфактов - кастомные скрипты (для проверки компьютеров в сети на наличие установленного AnyDesk или решений ЛК, а также непосредственно - для установки первой), пропатченные образцы Process Explorer (загружали Tuoni или Cobalt Strike).

В общем, текущая тенденция указывает на продолжающуюся эволюцию хактивизма и увеличивает вероятность проведения более частых, масштабных и технически сложных кампаний.

Все подробности - в отчете.