`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Группа киберпреступников Buhtrap теперь использует 0-дневные уязвимости

0 
 

Компания ESET сообщила о том, что ее специалисты обнаружили новую активность группы Buhtrap в Восточной Европе и Центральной Азии.

ESET и ранее наблюдала как киберпреступники Buthrap разворачивали свой основной бэкдор, а также другие инструменты, используя уже известные уязвимости. Однако, в последней кампании группа изменила тактику и начала использовать 0-дневные уязвимости.

В компании отмечают, что всегда сложно определить, кто осуществлял определенную кампанию, особенно, если ее исходный код свободно доступен в сети Интернет. Однако, поскольку изменение тактики киберпреступников происходило до утечки исходного кода, мы с высокой уверенностью можем сказать, что за первыми атаками на предприятия и банки, а также государственные учреждения стоит одна группа злоумышленников. В случае с киберпреступниками Buthrap непонятно, кто и по каким причинам решил изменить цели атак, но это вероятно станет ясно в ближайшем будущем.

Группа киберпреступников Buhtrap теперь использует 0-дневные уязвимости


Цели киберпреступников группы Buhtrap за последних пять лет

В арсенал Buhtrap добавлялись новые инструменты и делались обновления к уже существующим, однако тактики, методики и процедуры (TTP), которые применяются группой в различных кампаниях, в течение всего времени почти не менялись. Киберпреступники все еще используют NSIS-инсталляторы в качестве загрузчиков, которые в основном распространяются через вредоносные макросы документов. Кроме этого, некоторые из инструментов Buhtrap все еще подписаны действительными сертификатами и используют известное легитимное приложение.

Стоит отметить, что в последних атаках группа киберпреступников применяла два новых модуля. Первый — это независимый перехватчик паролей, который собирает пароли от почтовых клиентов, браузеров и т.д. и направляет их на командный сервер. Второй модуль бэкдора, как и ожидалось от киберпреступников Buthrap — это NSIS-инсталлятор, который содержит вполне легитимное приложение, скомпрометированное для загрузки основного бэкдора Buhtrap.

После того, как уязвимость была обнаружена и проанализирована, специалисты ESET сообщили о ней в Microsoft Security Response Center, где уязвимость быстро исправили и выпустили соответствующие исправления.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT