Beruchte Buhtrap groep achter uiterst doelgerichte Zero-day aanval, bevestigt ESET
De Buhtrap groep is berucht voor het doelen op financiële instellingen en bedrijven (businesses) in Rusland. Sinds het einde van 2015 waren de vorsers van ESET nochtans getuige van een interessante profielverandering in de gebruikelijke doelwitten van de groep. Terwijl ze evolueren van een pure criminele groep die zicht toelegt op cybercrime voor financieel gewin, kende hun toolkit een uitbreiding met malware die voor spionage gebruikt wordt.
“Het is altijd moeilijk om een campagne toe te schrijven aan een specifieke dader als de broncode van zijn tools vrij verkrijgbaar is op het web. Daar de verschuiving van het doelwit plaats vond voordat de broncode werd gelekt, zijn wij er stellig van overtuigd dat het dezelfde mensen zijn die verantwoordelijk zijn voor de eerste aanvallen op bedrijven en banken, en die nu ook betrokken zijn bij de aanvallen op regeringsinstellingen,” aldus Jean-Ian Boutin, een vooraanstaande vorser bij ESET. “Het is niet duidelijk of een of meerdere leden van deze groep besloten hebben om van focus te veranderen en waarom, maar het is beslist iets wat we in de toekomst nog vaker zullen meemaken,” voegde hij hieraan toe.
Belangrijke gebeurtenissen Buhtrap
Zoals de research van ESET laat zien, ondanks de toevoeging van nieuwe tools aan hun arsenaal en de updates aan oude tools, zijn de tactieken, technieken en procedures, gebruikt in de verschillende Buhtrap campagnes, over de jaren niet drastisch veranderd. De documenten gebruikt om de kwaadaardige ladingen te leveren, zijn vaak vergezeld van onschuldige lokdocumenten om verdenkingen te voorkomen mocht het slachtoffer die openen. De analyse van deze lokdocumenten levert de vorsers aanwijzingen over wie de doelwitten kunnen zijn. De tools die in spionagecampagnes gebruikt werden, leken erg op deze die gebruikt werden tegen bedrijven en financiële instellingen.
In deze specifieke campagne zat in de malware een wachtwoorddief. Die was erop uit om wachtwoorden te vergaren uit mail-clients, browsers, enz. en ze naar een server voor commando en controle door te sturen. Zo bezorgde de malware aan de operatoren ook een volledige toegang tot het gecompromitteerde systeem.
ESET melde het probleem aan het Microsoft Security Response Center, dat de kwestbaarheid repareerde en een patch beschikbaar stelde.
Meer details over Buhtrap en zijn nieuwste campagne zijn te vinden in Buhtrap group uses zero-day in espionage campaigns op WeLiveSecurity.com.
Meer vernemen over het aanbod van ESET? Breng een bezoek aan https://www.eset.com/be-nl/
Voor het gratis e-book over gegevensbescherming, bezoek https://www.eset.com/be-nl/zakelijk/data-protection-ebook/
Over ESET Al 30 jaar ontwikkelt ESET® wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie. ESET beschermt en controleert onopvallend 24/7, werkt de bescherming bij in real time en maakt het mogelijk dat bedrijven en gebruikers zonder onderbreking kunnen werken. Evoluerende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100 awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003.
