Notícias

Windows Zero-Day usado pelo Buhtrap Group para espionagem eletrônica

O grupo de hackers Buhtrap trocou suas metas de empresas e instituições financeiras rusianas desde dezembro de 2015, quando se mudou para operações de espionagem cibernética, culminando com o uso de um dia zero do Windows recentemente atualizado em junho de 2019.

A vulnerabilidade de 0 dias no escalonamento de privilégios locais do Windows rastreada como  CVE-2019-1132 e abusada pelo Buhtrap como parte de seus ataques foi corrigida pela Microsoft durante o Patch Tuesday deste mês e permitiu que o grupo de crimes virtuais executasse código arbitrário no modo kernel exploração bem sucedida.

Apesar de visar ativamente clientes bancários desde 2014, os ataques da Buhtrap só foram detectados um ano depois, em 2015, quando começaram a perseguir vítimas de alto nível como instituições financeiras de acordo com pesquisadores do Grupo-IB e da ESET .

“De agosto de 2015 a fevereiro de 2016, a Buhtrap conseguiu conduzir 13 ataques bem-sucedidos contra bancos russos por um total de 1,8 bilhão de rublos (US $ 25,7 milhões)”, diz um relatório do Grupo-IB.

O dia zero do Windows explorado pelo Buhtrap

Os pesquisadores da ESET puderam observar como o “conjunto de ferramentas do grupo hacker foi expandido com o malware usado para realizar espionagem na Europa Oriental e na Ásia Central” em várias campanhas direcionadas.

vulnerabilidade de vulnerabilidade de dia zero da Buhtrap  foi usada durante junho de 2019 em um ataque contra uma instituição governamental e foi projetada para abusar de “um desreferimento de ponteiro NULL no componente win32k.sys” em computadores que executam versões mais antigas do Windows .

O BuDtrap CVE-2019-1132 usado para comprometer os sistemas de computação governamentais durante o mês de junho afeta as seguintes versões do Windows:

• Windows 7 para sistemas Service Pack 1 de 32 bits 
• Windows 7 para sistemas Service Pack 1 baseados em x64 
• Windows Server 2008 para sistemas Service Pack 2 de 32 bits 
• Windows Server 2008 para sistemas Service Pack 2 baseados em Itanium 
• Windows Server 2008 para sistemas baseados em x64 Service Pack 2 
? Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 
? Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1

Esta vulnerabilidade só era explorável apenas em versões mais antigas do Windows porque os processos do usuário não têm mais permissão para mapear a página NULA desde o Windows 8.

Mova-se para a espionagem cibernética

Embora a Buhtrap sempre tenha sido conhecida por suas operações sigilosas, em fevereiro de 2016, o código-fonte de sua backdoor, usado em ataques anteriores, vazou on-line, levando a uma ampla distribuição entre os agentes de ameaças e subseqüente adoção por vários outros grupos e atores.

No entanto, conforme descoberto pela equipe de pesquisa da ESET, o grupo de crimes cibernéticos seguiu em frente e adicionou novas ferramentas ao seu kit de ferramentas e, como mencionado no início, também passou para a ciberespionagem.

Evolução Buhtrap
Evolução Buhtrap

“É sempre difícil atribuir uma campanha a um determinado ator quando o código-fonte de suas ferramentas está disponível gratuitamente na Web”, diz a ESET. “No entanto, como a mudança nos alvos ocorreu antes do vazamento do código-fonte, avaliamos com alta confiança que as mesmas pessoas por trás dos primeiros ataques de malware da Buhtrap contra empresas e bancos também estão envolvidas em atacar instituições governamentais.”

Além disso, “Embora novas ferramentas tenham sido adicionadas ao seu arsenal e atualizações aplicadas às antigas, as táticas, técnicas e procedimentos (TTPs) usados ​​nas diferentes campanhas da Buhtrap não mudaram drasticamente ao longo de todos esses anos.”

Mesmo que a razão exata por trás da decisão da Buhtrap de expandir suas operações na ciberespionagem seja desconhecida, ela é o perfeito “exemplo das linhas cada vez mais confusas entre os grupos de espionagem pura e aqueles principalmente envolvidos em atividades de crimeware”.

Uma lista completa de indicadores de comprometimento (IOCs) está disponível no final do relatório  da  ESET sobre a migração do grupo Buhtrap para a espionagem cibernética , incluindo domínios de servidores C2, hashes de amostras de malware, impressões digitais de certificados de codificação, bem como uma tabela da MITRE ATT & CK Técnicas

Fonte

Mais Lidas

To Top