信息来源:hackernews
Buhtrap黑客组织已将其目标从俄罗斯金融业务和机构转移。自2015年12月进行网络间谍活动以来,其影响最大的活动是在2019年6月期间使用了近期修补的Windows零日漏洞。
Windows本地权限提升零日漏洞(CVE-2019-1132)被Buhtrap滥用于其攻击,它允许犯罪组织在内核模式下运行任意代码。微软在本月的补丁星期二修复了此漏洞。
尽管Buhtrap自2014年以来不断攻击银行客户,但它直到一年之后才被检测到。根据Group-IB和ESET研究人员的说法,它从2015年以后便开始寻找金融机构等更高级的目标。Group-IB报告称,“从2015年8月到2016年2月,Buhtrap成功对俄罗斯银行进行了13次攻击,总金额达18亿卢布(2570万美元)”。
被Buhtrap利用的Windows零日漏洞
ESET研究人员通过多个有针对性的活动观察到黑客组织的工具集“是如何通过用于在东欧和中亚进行间谍活动的恶意软件进行扩展的”。
2019年6月,Buhtrap利用零日漏洞攻击政府机构,主要攻击方式是滥用旧版Windows中的“win32k.sys组件中空指针的逆向引用”。
转为网络间谍
Buhtrap发展过程
“当他们在网上免费提供工具源代码的时候,很难将行为归罪于特定的参与者,”ESET说, “然而,因为他们在源代码泄露之前更改了目标,所以我们确信首批对企业和银行进行Buhtrap恶意软件攻击的人也参与了针对政府机构的攻击。”
此外,“尽管新的工具已经添加到他们的武器库中并且更新可以应用于旧版本,但不同的Buhtrap活动中使用的策略,技术和程序(TTP)在这些年中并没有发生显著变化。”
ESET在关于Buhtrap集团网络间谍活动的报告最后提供了一份完整的IOC表单,其中包括C2服务器领域,恶意软件样本哈希,代码签名证书指纹以及MITRE ATT&CK技术的表格。