Хакеры Buhtrap – инициаторы недавней атаки zero day
По сообщению компании ESET, инициатором недавней атаки с использованием уязвимости нулевого дня является хакерская группировка Buhtrap, известная атаками на компании в России и Центральной Азии. ESET исследовала уязвимость в компоненте win32k.sys, которая позволила киберпреступникам организовать таргетированную атаку на пользователей из Восточной Европы.
Как отмечают эксперты компании, в кибератаке с использованием этой уязвимости применялся один из модулей стандартного загрузчика группировки Buhtrap. Арсенал хакеров также включал набор дропперов и загрузчиков, которые попадают на устройства жертвы под видом легитимных программ. В набор Buhtrap входило вредоносное ПО, которое стремилось собрать пароли от почтовых клиентов и браузеров и переслать информацию на C&C-сервер. Программа также предоставляла своим операторам полный доступ к скомпрометированной системе.
Изучение предыдущих кампаний показало, что преступники часто подписывают вредоносные приложения легитимными сертификатами, а в качестве приманок используют вложения с документами. Так, группировка атаковала финансовые структуры российских компаний, прикладывая к письмам поддельные счета-фактуры, контракты, акты сдачи-приемки. В конце 2015 г. группировка переключилась на банки и госучреждения. В качестве приманок использовались поддельные документы об изменении правил в банковской сфере, а также рекомендации Центробанка России.
Как поясняют эксперты, обычно бывает непросто связать атаку с конкретным исполнителем, особенно если исходный код его инструментов свободно доступен в сети. Но поскольку смена целей произошла до утечки исходного года, в ESET убеждены, что одни и те же лица стоят за первыми вредоносными кампаниями Buhtrap против бизнес-структур и банков и атаками против государственных учреждений.
Судя по всему, на данный момент целью группировки стал кибершпионаж за государственными и общественными организациями в странах Восточной Европы и Центральной Азии.
Продукты ESET идентифицируют угрозы как VBA/TrojanDropper.Agent.ABM, VBA/TrojanDropper.Agent.AGK, Win32/Spy.Buhtrap.W, Win32/Spy.Buhtrap.AK, Win32/RiskWare.Meterpreter.G.