itkvariat
itkvariat
Вход

    Хакерская группировка Buhtrap переключилась на кибершпионаж


    от: 16-07-2019 12:36 | раздел: Новости


    Международная антивирусная компания ESET сообщает, что инициатором недавней атаки с использованием уязвимости нулевого дня является известная хакерская группировка Buhtrap. Киберпреступная организация известна атаками на компании в России и Центральной Азии.
     
    Недавно ESET исследовала уязвимость в компоненте win32k.sys, которая позволила киберпреступникам организовать таргетированную атаку на пользователей из Восточной Европы.
     
    Эксперты ESET отметили, что в кибератаке с использованием этой уязвимости применялся один из модулей стандартного загрузчика группировки Buhtrap. Также арсенал хакеров включал набор дропперов и загрузчиков, которые попадают на устройства жертвы под видом легитимных программ.
     
    В набор Buhtrap входило вредоносное ПО, которое стремилось собрать пароли от почтовых клиентов и браузеров и переслать информацию на C&C-сервер. Программа также предоставляла своим операторам полный доступ к скомпрометированной системе. 
     
    Изучение предыдущих кампаний показало, что преступники часто подписывают вредоносные приложения легитимными сертификатами, а в качестве приманок используют вложения с документами. 
     
    Так, группировка атаковала финансовые структуры российских компаний, прикладывая к письмам поддельные счета-фактуры, контракты, акты сдачи-приемки.

    Пример счета, который использовала группировка в 2014 году
     
    В конце 2015 года группировка переключилась на банки и госучреждения. В качестве приманок использовались поддельные документы об изменении правил в банковской сфере, а также рекомендации Центробанка России.
     
    Пример поддельного сообщения от Центробанка России
     
    «Всегда непросто связать атаку с конкретным исполнителем, особенно если исходный код его инструментов находится в свободном доступе в сети. Но, так как смена целей произошла до утечки исходного года, мы убеждены, что одни и те же лица стоят за первыми вредоносными кампаниями Buhtrap против бизнес-структур и банков и атаками против государственных учреждений», — говорит ведущий эксперт ESET Жан-Йен Бутен.   
     
    Судя по всему, на данный момент целью группировки стал кибершпионаж за государственными и общественными организациями в странах Восточной Европы и Центральной Азии. 
     
    Продукты ESET успешно детектируют угрозы как VBA/TrojanDropper.Agent.ABM, VBA/TrojanDropper.Agent.AGK, Win32/Spy.Buhtrap.W, Win32/Spy.Buhtrap.AK, Win32/RiskWare.Meterpreter.G.
     
    Подробнее об инструментах группировки Buhtrap — в блоге ESET
     






    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • ФинЦЕРТ при участии Positive Technologies выпустил отчет об атаках: киберпреступники могут преодолеть периметр 75% банков
  • Бэкдор группировки Sednit оказался сложнее, чем думали раньше
  • ESET обнаружила распространение вредоносных файлов с помощью платформы "Яндекс.Директ"
  • Уязвимость "нулевого дня" в Microsoft Windows используют в целевых атаках хакеры кибергруппы PowerPool
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Хакеры группы Lazarus переключились на Центральную Америку


    • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное

Если вы работаете в правительстве США, вам вскоре могут запретить использовать это суперпопулярное приложение для iPhone

Если вы работаете в правительстве США, вам вскоре могут запретить использовать это суперпопулярное приложение для iPhone


AMD FSR 4 оказался способен обойти FSR 3 и DLSS с моделью CNN

AMD FSR 4 оказался способен обойти FSR 3 и DLSS с моделью CNN


Появились новые подробности о первом телефоне Samsung с тройным складыванием экрана

Появились новые подробности о первом телефоне Samsung с тройным складыванием экрана


Ошибка Windows 11 23H2 может заставить ваш принтер печатать случайные символы при подключении через USB

Ошибка Windows 11 23H2 может заставить ваш принтер печатать случайные символы при подключении через USB


Складной дисплей iPhone при раскрытии может сохранить привычное соотношение сторон

Складной дисплей iPhone при раскрытии может сохранить привычное соотношение сторон


Проверьте скорость вашего интернета!


Что бывало...
Наши друзья
Сервисный центр Five Service

Магазин кабелей и аксессуаров UGREEN

Самоклейкин

Смарт



Хакерская группировка Buhtrap переключилась на кибершпионаж


от: 16-07-2019 12:36 | раздел: Новости


Международная антивирусная компания ESET сообщает, что инициатором недавней атаки с использованием уязвимости нулевого дня является известная хакерская группировка Buhtrap. Киберпреступная организация известна атаками на компании в России и Центральной Азии.
 
Недавно ESET исследовала уязвимость в компоненте win32k.sys, которая позволила киберпреступникам организовать таргетированную атаку на пользователей из Восточной Европы.
 
Эксперты ESET отметили, что в кибератаке с использованием этой уязвимости применялся один из модулей стандартного загрузчика группировки Buhtrap. Также арсенал хакеров включал набор дропперов и загрузчиков, которые попадают на устройства жертвы под видом легитимных программ.
 
В набор Buhtrap входило вредоносное ПО, которое стремилось собрать пароли от почтовых клиентов и браузеров и переслать информацию на C&C-сервер. Программа также предоставляла своим операторам полный доступ к скомпрометированной системе. 
 
Изучение предыдущих кампаний показало, что преступники часто подписывают вредоносные приложения легитимными сертификатами, а в качестве приманок используют вложения с документами. 
 
Так, группировка атаковала финансовые структуры российских компаний, прикладывая к письмам поддельные счета-фактуры, контракты, акты сдачи-приемки.

Пример счета, который использовала группировка в 2014 году
 
В конце 2015 года группировка переключилась на банки и госучреждения. В качестве приманок использовались поддельные документы об изменении правил в банковской сфере, а также рекомендации Центробанка России.
 
Пример поддельного сообщения от Центробанка России
 
«Всегда непросто связать атаку с конкретным исполнителем, особенно если исходный код его инструментов находится в свободном доступе в сети. Но, так как смена целей произошла до утечки исходного года, мы убеждены, что одни и те же лица стоят за первыми вредоносными кампаниями Buhtrap против бизнес-структур и банков и атаками против государственных учреждений», — говорит ведущий эксперт ESET Жан-Йен Бутен.   
 
Судя по всему, на данный момент целью группировки стал кибершпионаж за государственными и общественными организациями в странах Восточной Европы и Центральной Азии. 
 
Продукты ESET успешно детектируют угрозы как VBA/TrojanDropper.Agent.ABM, VBA/TrojanDropper.Agent.AGK, Win32/Spy.Buhtrap.W, Win32/Spy.Buhtrap.AK, Win32/RiskWare.Meterpreter.G.
 
Подробнее об инструментах группировки Buhtrap — в блоге ESET
 






Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • ФинЦЕРТ при участии Positive Technologies выпустил отчет об атаках: киберпреступники могут преодолеть периметр 75% банков
  • Бэкдор группировки Sednit оказался сложнее, чем думали раньше
  • ESET обнаружила распространение вредоносных файлов с помощью платформы "Яндекс.Директ"
  • Уязвимость "нулевого дня" в Microsoft Windows используют в целевых атаках хакеры кибергруппы PowerPool
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Хакеры группы Lazarus переключились на Центральную Америку


    • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат (АйТиквариат) Powered by © 1996-2024