Хакери таргетират потребителите на Windows в Източна Европа с измама с легитимни документи

Zero-day уязвимост в Microsoft Windows позволява неоторизиран локален администраторски достъп и таргетира потребители от Източна Европа. Пробойната в сигурността на операционната система екипът ни от анализатори разкри този месец. За максимална достоверност, атакуващите използват фишинг, прикрит под реални документи, за да разпространяват атаката.

Най-вероятно зад атаката стои хакерската група Buhtrap APT. Кибер престъпниците предимно атакуват потребители от Източна Европа и Централна Азия, а според анализа ни за първи път използват zero-day уязвимост и за кибер шпионаж.

Buhtrap са известни с таргетираните си атаки към финансови институции и частни бизнеси в Русия. От края на 2015 г., наблюдаваме промяна в методите, които хакерите използват - вместо да извършват киберпрестъпления заради финансова изгода, вече използват и зловредни софтуери за шпионаж.

Изключително трудно е да се определи кой стои зад дадена кибер атака, особено когато използваният сорс код е свободно достъпен в мрежата. Въпреки това, анализът на инструментите, тактиките и процедурите ни насочи към конкретна криминална групировка.

През последните години Buhtrap актуализира похватите си, но основните методи, които използват не са се променили драстично. Групировката все още разчита на NSIS инсталатори, които най-често разпространява чрез фишинг. Зловредният софтуер се прикрива във файл, който е прикачен заедно с легитимни документи за отвличане вниманието на “жертвата”. Хакерите използват и инструмент за кражба на пароли от имейли и браузъри, които се изпращат до C&C сървърите. Така кибер престъпниците получават пълен достъп до компрометираната система.

Анализът на тези документи “примамки”, на начина на задействане на зловредния софтуер и установяването на таргета, ни посочи и коя групировка най-вероятно стои зад атаките.

Въпреки, че “почеркът” е характерен за Buhtrap, не можем със сигурност да установим дали те са отговорни за атаките, дали някои от членовете или цялата групировка са решили да изместят таргета и какви са причините за това.

Експлойтът използва уязвимост CVE-2019-1132 в Microsoft Windows, която позволява локално ескалиране на привилегиите. След като идентифицирахме заплахата, незабавно уведомихме Microsoft Security Response Center. Специалистите от там вече създадоха патч и отстраниха проблема. Очакваме подобен тип атаки да продължат и в бъдеще, затова съветваме всички потребители да ъпдейтват редовно операционните си системи.

Повече информация за групировката Buhtrap и методите, които използва за кибер атаки и шпионаж, прочете в WeLiveSecurity.com.