Исследовательская группа ESET сообщила об эксплойте Дня зеро , с помощью которого была развернута целенаправленная атака в Восточной Европе. Эксплойт использовал локальную уязвимость эскалации привилегий в Microsoft Windows. Наши исследователи смогли идентифицировать тех, кто за этим стоит – это печально известная Buhtrap APT и группа киберпреступников, которые специализируются на шпионских операциях в Восточной Европе и Центральной Азии. Впервые ESET стала свидетелем того, как они использовали атаку Дня зеро в рамках кампании.
Целью группы Buhtrap являются финансовые учреждения, а также бизнес в России. Однако с конца 2015 года мы стали свидетелями интересного изменения профиля традиционных целей группы. Группировка эволюционировала – если раньше её деятельность разворачивалась ради финансовой выгоды, то теперь набор их инструментов пополнился вредоносными программами для ведения шпионажа.
«Всегда трудно приписать кампанию одному конкретному заинтересованному лицу, когда исходный код их инструментов находится в свободном доступе в интернете. Однако, поскольку изменение цели произошло до утечки исходного кода, мы с высокой долей вероятности оценили, что те же люди, которые стояли за первыми атаками вредоносных программ Buhtrap против предприятий и банков, также участвуют в целенаправленном воздействии на правительственные учреждения», — говорит Жан-Ян Бутен, ведущий исследователь ESET. — Неясно, решил ли один или несколько членов этой группы изменить цель и по каким причинам, но, вероятно, мы увидим дальнейшее развитие событий.»
Важные события в истории развития Buhtrap
Как показало исследование ESET, несмотря на то что в арсенал преступной группы были добавлены новые инструменты и обновления, старые тактика, методы и процедуры, использовавшиеся в различных кампаниях Buhtrap, за прошедшие годы кардинально не изменились. Документы, используемые для доставки вредоносных нагрузок, часто приходят вместе с благополучными документами приманки, чтобы избежать подозрений, когда их жертва открывает. Анализ документов приманки дает ключ исследователям о том, кто может являться целью. Инструменты, используемые в шпионских кампаниях, очень напоминают те, что использовались против бизнеса и финансовых учреждений.
Что касается конкретно этой кампании, вредоносная программа содержала похитителя паролей, который пытался собрать пароли от клиентов почты, браузеров и т. д. и отправить их на сервер управления. Вредоносная программа предоставила своим операторам полный доступ к скомпрометированной системе.
Компания ESET сообщила об этом эксплойте в Центр реагирования безопасности Майкрософт, тот, в свою очередь, устранил уязвимость и выпустил исправление.
Для получения более подробной информации о Buhtrap и её последней кампании, читайте Группа Вuhtrap использует атаку нулевого дня в шпионских кампаниях на WeLiveSecurity.com.
