Kybernetická špionážní kampaň Buhtrap využila nedávno opravený zero-day ve Windows

Buhtrap – kybernetická zločinecká skupina zaměřující se na útoky v Rusku, přišla s novou kampaní využívající zranitelnosti nultého dne ve Windows pro řízení kybernetických špionážních operací. Stěžejním nedostatkem je zranitelnost lokálních systémových oprávnění v Microsoft Windows (SB2019070905 – CVE-2019–1132), specificky dereference nulového ukazatele ve win32k.sys driveru. Oprava této chyby, ovlivňující Windows 7, Windows Server 2008 a 2008 R2, vyšla toto úterý jako součást červencového bezpečnostního updatu.

Probíhající útoky byly objeveny výzkumníky bezpečností firmy ESET, kteří včera zveřejnili detailní zprávu o jejich nálezu. Kyberskupina Buhtrap je především známá pro jejich hackování finančních institucí a firem v Rusku. Nicméně v roce 2015 tato skupina dříve čistě zaměřená na krádež peněz rozšířila svůj arsenál o malware pro provádění špionáže ve Východní Evropě a Centrální Asii. Cílem se staly i vládní agentury a organizace.

Zatímco v předešlých kampaních tato skupina využívala již vyvinutých útoků nultého dne jinými hackery, nedávné útoky značily o prvním použití samotného nultého dne Buhtrap hackery. Toto zneužití CVE-2019–1132 záviselo na objektech vyskakovacích oken, což je technika, jež byla v posledních letech využita pro pár zranitelností, vysvětlují výzkumníci v jiném blogu obsahujícím podrobnou technickou analýzu procesů zranitelnosti a využívání.

Tato skupina se poprvé objevila v oblasti hrozeb v roce 2014, když začala s útoky na ruské firmy pomocí svého malwaru. Společně se zkušenostmi skupina získávala i odvahu a změnila své zaměření na dobře zabezpečené cíle – ruské banky a finanční instituce. Jejich činnost však byla přerušena v únoru 2016, kdy byl zdrojový kód jejich eponymně pojmenovaného backdooru Buhtrap zveřejněn online.

„Je vždy velmi těžké přiřadit konkrétní kampaň jejímu tvůrci, když je zdrojový kód jeho nástrojů volně dostupný na webu. Vzhledem k tomu, že k přehodnocení cílů došlo až po úniku zdrojového kódu, s velkou jistotou se domníváme, že za útokem na vládní instituce a malware útoky na firmy a banky stojí stejní lidé.“ Říkají výzkumníci ESET.

Podle ESET se po aktualizaci nástrojů novým malwarem taktika, metody a postupy v minulosti používané při různých kampaní Buhtrap nijak dramaticky nezměnily. Skupina stále používá škodlivé dokumenty které používají NSIS pro stahování backdooru. Co víc, několik jejich nástrojů je vybaveno platnými certifikáty.

Vědci nedávno objevili novou variantu NSIS, která se liší od dřívější verze používané Buhtrapem. Je mnohem jednodušší, vytrvalejší a umožňuje spuštění dvou vložených škodlivých modulů naráz. První modul má za úkol ukradnout hesla z mailů, vyhledávačů atd. a poslat je na server pod kontrolou útočníka. Druhý je NSIS instalátor pro stahování backdooru z Buhtrap.

ESET neodhalil nedávné cíle této kybernetické špionážní kampaně. Také je velmi nejasné, jak přesně hackeři došli na nultý den, ale vědci spekulují o možnosti získání informací od zprostředkovatelů exploit programů nebo lidí, kteří prodávají své staré exploit data v domnění, že brzy vyprší podpora Windows 7, Windows Server 2008 a 2008 R2.