Recente di Windows zero-day usata da Buhtrap banda di cyber-spionaggio

Windows 10 aprile aggiornamento è pieno di nuove caratteristiche: la Nostra top picks
Qui sono alcune delle nuove funzionalità che ci si aspetta ancora un’altra caratteristica-imballato semi-rilascio annuale.
Leggi di più: https://zd.net/2HLtL6f

Un oscuro gruppo di hacker noto come Buhtrap è in realtà dietro un recente sistema operativo Windows vulnerabilità zero-day che è stata sfruttata.

Slovacca antivirus maker ESET, la società che ha scoperto gli attacchi continui, ha detto che il giorno zero è stato utilizzato per effettuare il cyber-spionaggio.

Microsoft ha rilasciato una patch il giorno zero (CVE-2019-1132) di questa settimana, in questo mese il martedì delle Patch di aggiornamenti di treno.

Ma quello che spicca in questa scoperta è il nome Buhtrap stesso. Il gruppo non è il vostro normale stato sponsorizzato da hacker vestito, come i più noti nomi come Turla, Fantasia Orsi, APT33, o l’Equazione di Gruppo.

Il gruppo è visto raramente e di solito è coinvolto nel prendere di mira le istituzioni finanziarie per rubare i soldi.

Una breve storia di Buhtrap

Buhtrap è stato visto per la prima volta sul cyber-crime paesaggio nel 2014, quando hanno iniziato come la maggior parte dei cyber-crimine gruppi di targeting aziende russe, secondo un ESET 2015 report.

Il gruppo ha acquisito esperienza, hanno anche guadagnato in baldanza, e hanno lentamente cominciato ad andare dopo più ben protetto obiettivi, come le banche russe, secondo un rapporto pubblicato da Symantec.

Un report dal Gruppo IB sostiene che il gruppo ha avuto un incredibile successo durante questa fase della loro evoluzione, riuscendo a rubare oltre 25 milioni di dollari da almeno 13 banche russe, tra il mese di agosto 2015 e febbraio 2016.

Immagine: ESET

Ma il successo non durò a lungo, e le attività del gruppo sono state seriamente danneggiate nel febbraio 2016, quando il codice sorgente dei loro eponimo di nome Buhtrap backdoor è trapelata online.

Da allora, il malware è stato utilizzato da più gruppi, in una più ampia gamma di operazioni, il targeting più di banche, come ad esempio essere utilizzate per la diffusione di ransomware dopo l’hack di un importante online advertiser.

Ma in un report condiviso con ZDNet oggi, ESET i ricercatori hanno detto che hanno visto il gruppo di cambiare tattica dal lontano dicembre 2015, quando il gruppo ha, inoltre, iniziato a rivolgersi a enti governativi e istituzioni.

“È sempre difficile attribuire una campagna per un attore in particolare quando i loro strumenti il codice sorgente è liberamente disponibile sul web. Tuttavia, come il cambiamento di obiettivi si è verificato prima che il codice sorgente di perdita, siamo in grado di valutare con grande sicurezza che le stesse persone dietro il primo Buhtrap attacchi di malware contro le imprese e le banche sono anche coinvolti nel targeting istituzioni governative,” ESET ha detto.

“Anche se i nuovi strumenti sono stati aggiunti al proprio arsenale e aggiornamenti applicati a quelli più vecchi, le tattiche, tecniche e procedure (TTPs) utilizzato in diversi Buhtrap campagne non sono cambiate drasticamente nel corso di tutti questi anni”, hanno detto i ricercatori.

Buhtrap mai usato uno zero-day prima

ESET recente scoperta di Buhtrap la distribuzione di Windows zero-day, che segna anche la prima volta che il gruppo distribuito ogni giorno zero per i loro attacchi.

In precedenza, Buhtrap operatori ex-zero-giorni, che era stato sviluppato da altri gruppi di hacker, e a lungo patchato con il tempo hanno messo le mani su le gesta.

Questa è la prima volta Buhtrap operatori hanno utilizzato una vulnerabilità senza patch — un effettivo zero-day.

Ma altre domande che ora mi vengono in mente. Per esempio, come ha fatto il gruppo di mettere le mani su uno zero-day? Questo è ancora un mistero che deve essere rotto. Non è chiaro se hanno sviluppato i loro stessi o comprato da un exploit broker.

Almeno due altamente considerato di sicurezza, i ricercatori ritengono che il giorno zero è più probabile acquisito.

Costin Raiu di Kaspersky ritiene che il “giorno zero” suona come il tipico “acquisizione di privilegi più elevati” vulnerabilità venduto da un exploit broker conosciuto come Volodya, che ha venduto zero-giorni nel passato, sia per la criminalità informatica e stato-nazione gruppi.

Tavis Ormandy di Google Project Zero condivide anche un parere simile, anche se non ha attributo il giorno zero particolari per sfruttare broker.

Come per gli obiettivi di questa ultima Buhtrap cyber-spionaggio, ESET non ha detto. Tuttavia, Buhtrap era già stato coinvolto in cyber-spionaggio operazioni contro i governi dei paesi dell’Europa Orientale e dell’Asia Centrale — la classica caccia di stato russo sponsorizzato da hacker.

Dal Buhtrap si crede di essere operante al di fuori della Russia, è facile a venire con tutti i tipi di teorie prive di fondamento come “il servizio di intelligence russo reclutati Buhtrap per la spia per loro di chiudere un occhio per il loro passato hack delle banche russe.” Tali teorie circa Buhtrap non sono attualmente supportate da alcuna prova, ma il russo strutture di intelligence ha reclutato hacker per fare il loro sporco lavoro prima — vedi il 2014 Finanza di hack o questo CBS 60 Minuti di episodio da aprile 2019.

Correlati malware e attacchi informatici di copertura:

Microsoft avverte di Astaroth campagna di malware’Silence’ hacker ha colpito le banche in Bangladesh, India, Sri Lanka, e KyrgyzstanHackers violato la Grecia, dominio di primo livello registrarNew malware per Android che sostituisce legittimo apps con ad-infestato doppelgangersPale Luna dice hacker aggiunto malware per i vecchi browser versionsCroatian governo mirati da misteriosi hacker Più di 3B falsi messaggi di posta elettronica inviati ogni giorno, come gli attacchi di phishing persistono TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET

Argomenti Correlati:

Microsoft

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati