Защити свои аккаунты качественными и приватными прокси форматов IPv4 и IPv6! - Proxy-seller

Группа хакеров Buhtrap, использующая недавно исправленный эксплойт Windows Zero-day для атаки на правительственные сети

FRANKENSTEIN

Ученый

1562948158331.png

Печально известная Кибершпионажная группа, известная как “Buhtrap”, использует эксплойт Windows Zero-day для своей новой кампании по атаке на предприятия и целенаправленной атаке правительственных учреждений.

Группа хакеров Buhtrap активно нацеливается на различные финансовые учреждения в 2015, с тех пор группа импровизирует свой набор инструментов с новыми эксплойтами и вредоносными программами для атаки на страны Европы и Азии.

Недавно обнаруженная целевая кампания атаки с использованием эксплойта для локального повышения привилегий Windows (CVE-2019-1132), уязвимость находится в win32k.sys компонент и уязвимость были исправлены корпорацией Майкрософт в недавнем обновлении для системы безопасности.

Злоумышленник, который успешно использует эту уязвимость (CVE-2019-1132), может привести к выполнению произвольного кода в режиме ядра, в конечном итоге взять под контроль уязвимую систему.

Новый арсенал Buhtrap содержит различные инструменты взлома с обновленной тактикой, методами и процедурами (TTPs), которые они часто используют для различных других кампаний.

Исследователи отметили, что некоторые из их инструментов подписаны действительными сертификатами подписи кода и злоупотребляют известным законным приложением для боковой загрузки своих вредоносных полезных нагрузок.

Buhtrap Вредоносная Кампания Процесс Заражения

Компания Buhtrap проводит свою шпионскую кампанию в течение последних пяти лет и в настоящее время наблюдает фальшивый документ, связанный с правительственными операциями, которые очень похожи на сайт Государственной миграционной службы Украины, dmsu.gov.ua...

1562948458391.png

Вредоносный текст документа просит сотрудников предоставить свои контактные данные, особенно их адреса электронной почты также обмануть их, чтобы нажать на ссылку на нем.

Исследователи из ESET процитировали, что следующий документ является первым документом приманки, который недавно столкнулся, который используется группой Buhtrap для целевых правительственных учреждений.

1562948507061.png

Согласно исследованиям ESET, " этот документ содержит вредоносный макрос, который при включении удаляет установщик NSIS, задачей которого является подготовка установки основного бэкдора. Однако этот установщик NSIS сильно отличается от предыдущих версий, используемых этой группой. Это намного проще и используется только для установки персистентности и запуска двух вредоносных модулей, встроенных в него.”

Первый модуль-это похититель паролей, который собирает пароли от почтовых клиентов, браузеров и других утилит, в конечном итоге делится ими с командой и контролирует управление разрывом участниками угрозы.

Второй модуль-это установщик NSIS, который содержит законное приложение, которое злоупотребляет и загружает основной бэкдор, используемый Buhtrap.

Заключительный бэкдор с зашифрованным в его теле с 2 бэкдорами, первый-это тип загрузчика небольшого шеллкода, а второй-Meterpreter Metasploit, который является обратной оболочкой, которая помогает предоставить полный контроль над скомпрометированной системой злоумышленнику.

” В этом случае неясно, решил ли один или несколько членов этой группы изменить фокус и по каким причинам, но это определенно то, что мы, вероятно, увидим больше в будущем", - заключил ESET.
 
Сверху Снизу