Eset предупредила об активности хакеров Buhtrap в области кибершпионажа

Спецпроекты

cnews.ru/inc/design2019/img/icons/caret-down.png" alt="">

Eset сообщает, что инициатором недавней атаки с использованием уязвимости нулевого дня является известная хакерская группировка Buhtrap.

Недавно Eset исследовала уязвимость в компоненте win32k.sys, которая позволила киберпреступникам организовать таргетированную атаку на пользователей из Восточной Европы.

Эксперты Eset отметили, что в кибератаке с использованием этой уязвимости применялся один из модулей стандартного загрузчика группировки Buhtrap. Также арсенал хакеров включал набор дропперов и загрузчиков, которые попадают на устройства жертвы под видом легитимных программ.

В набор Buhtrap входило вредоносное ПО, которое стремилось собрать пароли от почтовых клиентов и браузеров и переслать информацию на C&C-сервер. Программа также предоставляла своим операторам полный доступ к скомпрометированной системе.

Изучение предыдущих кампаний показало, что преступники часто подписывают вредоносные приложения легитимными сертификатами, а в качестве приманок используют вложения с документами.

Так, группировка атаковала финансовые структуры российских компаний, прикладывая к письмам поддельные счета-фактуры, контракты, акты сдачи-приемки.

В конце 2015 года группировка переключилась на банки и госучреждения. В качестве приманок использовались поддельные документы об изменении правил в банковской сфере, а также рекомендации Центробанка России.

«Всегда непросто связать атаку с конкретным исполнителем, особенно если исходный код его инструментов находится в свободном доступе в сети. Но, так как смена целей произошла до утечки исходного года, мы убеждены, что одни и те же лица стоят за первыми вредоносными кампаниями Buhtrap против бизнес-структур и банков и атаками против государственных учреждений», — сказал ведущий эксперт Eset Жан-Йен Бутен.

Судя по всему, на данный момент целью группировки стал кибершпионаж за государственными и общественными организациями в странах Восточной Европы и Центральной Азии.

Продукты Eset успешно детектируют угрозы как VBA/TrojanDropper.Agent.ABM, VBA/TrojanDropper.Agent.AGK, Win32/Spy.Buhtrap.W, Win32/Spy.Buhtrap.AK, Win32/RiskWare.Meterpreter.G.

Россияне создали «первое в мире» средство защиты от фотографирования экранов ПК

Две структуры «Ростеха» создали конкурирующие устройства для охоты на квадрокоптеры

Государство заставит российских ИБ-вендоров потратиться, а «варягов» уйти

«Касперский»: проблема в ПО Asus угрожает миллиону пользователей его ПК

Новая «дыра» Spoiler ломает все процессоры Intel Core

Сергей Пегасов

CIO Промсвязьбанка

Александр Шохин

президент Российского союза промышленников и предпринимателей

Савва Шипов

Замминистра Минэкономразвития

Александр Шохин

президент Российского союза промышленников и предпринимателей

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе