Група кіберзлочинців Buhtrap тепер використовує 0-денні уразливості

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нової активності групи Buhtrap. Кіберзлочинці, відомі атаками на фінансові установи та компанії в Росії, почали використовувати 0-денні уразливості для здійснення шпигунської діяльності у Східній Європі та Центральній Азії.

Спеціалісти ESET і раніше спостерігали як Buthrap розгортала свій основний бекдор, а також інші інструменти, використовуючи вже відомі уразливості. Однак, у останній кампанії група змінила тактику та почала використовувати 0-денні уразливості.

«Завжди складно визначити, хто здійснював певну кампанію, особливо, якщо її вихідний код вільно доступний в мережі Інтернет. Однак, оскільки зміна тактики кіберзлочинців відбувалася до витоку вихідного коду, ми з високою впевненістю можемо сказати, що за першими атаками на підприємства та банки, а також державні установи стоїть одна група зловмисників, — коментують провідні спеціалісти ESET. — У випадку з кіберзлочинцями Buthrap незрозуміло, хто та з яких причин вирішив змінити цілі атак, але це імовірно стане зрозумілим в найближчому майбутньому».

Цілі кіберзлочинців групи Buhtrap за останніх п'ять років - новини ESET.

До арсеналу Buhtrap додавались нові інструменти та робились оновлення до вже існуючих, однак тактики, методики та процедури (TTP), які використовуються групою в різних кампаніях, протягом усього часу майже не змінювались. Кіберзлочинці все ще використовують NSIS-інсталятори в якості завантажувачів, які в основному поширюються через шкідливі макроси документів. Крім цього, деякі з інструментів Buhtrap все ще підписані дійсними сертифікатами та використовують відомий легітимний додаток.

Варто зазначити, що в останніх атаках група кіберзлочинців використовувала два нових модуля. Перший — це незалежний перехоплювач паролів, який збирає паролі від поштових клієнтів, браузерів тощо та надсилає їх на командний сервер. Другий модуль бекдора, як і очікувалось від кіберзлочинців Buthrap — це NSIS-інсталятор, який містить цілком легітимний додаток, скомпрометований для завантаження основного бекдора Buhtrap.

Після того, як уразливість було виявлено та проаналізовано, спеціалісти ESET повідомили про неї в Microsoft Security Response Center, де уразливість швидко виправили та випустили відповідні виправлення.

Детальніше про Buhtrap читайте у дослідженні, доступному за посиланням.