logo ESET software spol. s r. o.

Za útoky zero day zranitelnosti stojí skupina Buhtrap

Hackerská skupina zneužívala zranitelnosti pro přidělování lokálních práv v Microsoft Windows. Tým společnosti ESET nyní dokázal určit identitu útočníků. Jedná se o skupinu Buhtrap APT, která působí v Rusku a zaměřuje se na špionáž ve východní Evropě a střední Asii.

Skupina Buhtrap dlouhodobě cílí na finanční instituce a firmy v Rusku. Nicméně od konce roku 2015 jsme svědky toho, že skupina změnila profil svých cílů. Tato kriminální organizace páchající kybernetický zločin pro finanční zisk tak postupně rozšířila své portfolio malware i o nástroje určené k provádění špionáže.

Skupina Buhtrap se v minulosti zaměřovala na útoky na ruské banky a firmy. Nyní usilovali o hesla uživatelů z řad vládních institucí.

O tzv. zero day exploitu, který umožnil útočníkům provádět vysoce cílené útoky ve východní Evropě, informovali bezpečnostní analytici ESET v závěru minulého týdne.

"V situaci, kdy jsou zdrojové kódy nástrojů použitých během této kampaně volně dostupné na webu, je těžké ji přisoudit někomu konkrétnímu. Nicméně v tomto případě jsme na základě našich poznatků usoudili, že za útoky na vládní instituce stojí s největší pravděpodobností stejní lidé, kteří stáli i za prvními útoky skupiny Buhtap na firmy a banky. Zatím není zřejmé, zda se své zaměření rozhodl změnit jeden či vícero členů skupiny, stejně jako není znám důvod této změny. Jde ale o věc, kterou se budeme nadále zabývat," říká Jean-Ian Boutin, vedoucí výzkumného týmu společnosti ESET.

Jak ukazují závěry analytiků z ESET, útočníci přidali do svého arzenálu nové nástroje a aktualizovali ty staré. Taktika, technika a procesy, které byly použity v jiných kampaních skupiny Buhtrap, se v průběhu posledních let výrazně nezměnily.

Dokumenty používané k šíření jejich malware bývají maskovány neškodným textovým obsahem, tak aby nevyvolaly při svém otevření žádné podezření. Analýza těchto dokumentů poskytuje analytikům vodítka k tomu, na koho mohou být cíleny.

Útočníci usilovali o hesla obětí

V této specifické kampani obsahoval distribuovaný malware mimo jiné i nástroj ke sběru hesel, který se pokoušel získat hesla z e-mailových klientů, webových prohlížečů a podobně. Získané údaje poté zasílal na řídící server útočníků. Ti měli rovněž úplný přístup do kompromitovaného systému.

"Podstatou tohoto incidentu je skutečnost, že spuštěním běžné aplikace na starším systému Windows bez patřičné záplaty win32k.sys je útočník schopen získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení," vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

Společnost ESET ohlásila exploit společnosti Microsoft, která zranitelnost opravila a vydala příslušnou aktualizaci.

Důležité milníky útoků skupiny Buhtrap:

Článek ESET software spol. s r. o. ze dne 16. července 2019 - úterý

Další články od ESET software spol. s r. o.

Pozor na falešný antivir pro Android

ESET pomáhá chránit aplikační obchod Google Play před malware

Edice 2020 bezpečnostních produktů ESET pro domácí uživatele

Češi podceňují aktualizace svých elektronických zařízení

Spyware Attor cílí na diplomatické mise a vládní instituce

Klienty českých bank ohrožují phishingové útoky

Reklamní malware cílí na mobilní zařízení

Špičková řešení ESET pro informační bezpečnost firem

Pozor na spambot, který nahrává své oběti při sledování pornografie

Nejčastější kybernetické hrozby pro platformu Android

Promoakce ESET - rok ochrany zdarma pro firmy i domácí uživatele

Nový typ bankovního malware útočí na latinskoamerické banky

ESET a Borussia Dortmund sbližují svět fotbalu a kybernetické bezpečnosti

Nová metodika odhalí i ty nejnebezpečnější internetové hrozby

Cílené útoky skupiny Ke3chang na diplomaty z Evropy a Latinské Ameriky

Za útoky zero day zranitelnosti stojí skupina Buhtrap

Zero day exploit cílí na starší verze Windows

Zranitelnost v programu Microsoft Equation Editor

ESET integruje své technologie do globální cloudové služby Backstory

Míra zabezpečení mobilních zařízení stále zaostává za počítači

Dvoufaktorová autentizace posiluje bezpečnost firemní sítě

Pozor na další vlnu vyděračských e-mailů

Škodlivý Javascript k nechtěnému přesměrování byl v březnu nejčastější hrozbou

Rizikový překladač Word Translator cílil na klienty českých bank

Clipper malware cílí na kryptoměny Bitcoin a Ethereum

Pozor na podvodné HTML dotazníky a PDF phisingové zprávy

ESET je partnerem mezinárodní iniciativy No More Ransom

Weby pro streaming nelegálních kopií filmů nabízejí škodlivý doplněk prohlížeče

Internetové bankovnictví českých uživatelů čelí další vlně hrozeb

Kyberšikana a pornografie jsou největší hrozby pro děti na internetu

Nová řada bezpečnostních řešení ESET pro domácí uživatele

Kritická infrastruktura v hledáčku hackerů

Lepší správa zabezpečení malých a středních firem v cloudu

Nebezpečná aplikace QRecorder pro Android ohrožuje internetové bankovnictví

Lepší řešení kybernetické ochrany firem

Ochrana dat šifrováním se stále dost podceňuje

ČOI a ESET společně proti podvodným e-shopům

Android TV s ochranou před útoky ransomwaru a malware

Skrytá těžba kryptoměn zneužívá výpočetní výkon počítačů

Škodlivý kód zneužívá falešnou instalaci Adobe Flash Player

Kyberbezpečnost 2018 - aktuální trendy a dopady GDPR

Jak se bránit proti podvodným aplikacím pro obchodování s kryptoměnami

Podvodné aplikace pro obchodování s kryptoměnami zneužívají osobní data uživatelů

Nový malware využívá protokol DDE

SmartPhone IBM Simon - první chtyrý telefon vznikl pře 25 lety

Malware DoubleLocker mění PIN na mobilech s Androidem a šifruje data

Google a ESET společně v boji proti malwaru

Útok pomocí reinstalace klíčů WPA2 šifrování ohrožuje uživatele WiFi sítí

Pozor na falešné soutěže na Facebooku - můžete přijít o peníze

Zálohování a obnova dat Xopero v portfoliu ESET Technologické Aliance

Nabídka zaměstnání ESET software spol. s r. o.