Меню
Поиск

Группа киберпреступников Buhtrap теперь использует 0-дневные уязвимости

16 июль, 2019 - 12:45

Компания ESET сообщила о том, что ее специалисты обнаружили новую активность группы Buhtrap в Восточной Европе и Центральной Азии.

ESET и ранее наблюдала как киберпреступники Buthrap разворачивали свой основной бэкдор, а также другие инструменты, используя уже известные уязвимости. Однако, в последней кампании группа изменила тактику и начала использовать 0-дневные уязвимости.

В компании отмечают, что всегда сложно определить, кто осуществлял определенную кампанию, особенно, если ее исходный код свободно доступен в сети Интернет. Однако, поскольку изменение тактики киберпреступников происходило до утечки исходного кода, мы с высокой уверенностью можем сказать, что за первыми атаками на предприятия и банки, а также государственные учреждения стоит одна группа злоумышленников. В случае с киберпреступниками Buthrap непонятно, кто и по каким причинам решил изменить цели атак, но это вероятно станет ясно в ближайшем будущем.

Группа киберпреступников Buhtrap теперь использует 0-дневные уязвимости


Цели киберпреступников группы Buhtrap за последних пять лет

В арсенал Buhtrap добавлялись новые инструменты и делались обновления к уже существующим, однако тактики, методики и процедуры (TTP), которые применяются группой в различных кампаниях, в течение всего времени почти не менялись. Киберпреступники все еще используют NSIS-инсталляторы в качестве загрузчиков, которые в основном распространяются через вредоносные макросы документов. Кроме этого, некоторые из инструментов Buhtrap все еще подписаны действительными сертификатами и используют известное легитимное приложение.

Стоит отметить, что в последних атаках группа киберпреступников применяла два новых модуля. Первый — это независимый перехватчик паролей, который собирает пароли от почтовых клиентов, браузеров и т.д. и направляет их на командный сервер. Второй модуль бэкдора, как и ожидалось от киберпреступников Buthrap — это NSIS-инсталлятор, который содержит вполне легитимное приложение, скомпрометированное для загрузки основного бэкдора Buhtrap.

После того, как уязвимость была обнаружена и проанализирована, специалисты ESET сообщили о ней в Microsoft Security Response Center, где уязвимость быстро исправили и выпустили соответствующие исправления.