Группа киберпреступников Buhtrap теперь использует 0-дневные уязвимости

Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новой активности группы Buhtrap. Киберпреступники, известные атаками на финансовые учреждения и компании в России, начали использовать 0-дневные уязвимости для осуществления шпионской деятельности в Восточной Европе и Центральной Азии.

Специалисты ESET и ранее наблюдали как киберпреступники Buthrap разворачивали свой основной бэкдор, а также другие инструменты, используя уже известные уязвимости. Однако, в последней кампании группа изменила тактику и начала использовать 0-дневные уязвимости.

«Всегда сложно определить, кто осуществлял определенную кампанию, особенно, если ее исходный код свободно доступен в сети Интернет. Однако, поскольку изменение тактики киберпреступников происходило до утечки исходного кода, мы с высокой уверенностью можем сказать, что за первыми атаками на предприятия и банки, а также государственные учреждения стоит одна группа злоумышленников, — комментируют ведущие специалисты ESET. — В случае с киберпреступниками Buthrap непонятно, кто и по каким причинам решил изменить цели атак, но это вероятно станет ясно в ближайшем будущем».

Цели киберпреступников группы Buhtrap за последних пять лет – новости ESET.

В арсенал Buhtrap добавлялись новые инструменты и делались обновления к уже существующим, однако тактики, методики и процедуры (TTP), которые применяются группой в различных кампаниях, в течение всего времени почти не менялись. Киберпреступники все еще используют NSIS-инсталляторы в качестве загрузчиков, которые в основном распространяются через вредоносные макросы документов. Кроме этого, некоторые из инструментов Buhtrap все еще подписаны действительными сертификатами и используют известное легитимное приложение.

Стоит отметить, что в последних атаках группа киберпреступников применяла два новых модуля. Первый — это независимый перехватчик паролей, который собирает пароли от почтовых клиентов, браузеров и т.д. и направляет их на командный сервер. Второй модуль бэкдора, как и ожидалось от киберпреступников Buthrap — это NSIS-инсталлятор, который содержит вполне легитимное приложение, скомпрометированное для загрузки основного бэкдора Buhtrap.

После того, как уязвимость была обнаружена и проанализирована, специалисты ESET сообщили о ней в Microsoft Security Response Center, где уязвимость быстро исправили и выпустили соответствующие исправления.

Подробнее о Buhtrap читайте в исследовании, доступном по ссылке.