据外媒报道,一个名不见经传的黑客组织Buhtrap,实际上是最近使用Windows系统零日漏洞背后的组织。
发现持续攻击的反病毒制造商ESET表示,该零日漏洞用于进行网络间谍活动。微软已在本周的周二补丁日中修补了该漏洞(CVE-2019-1132)。
根据ESET 2015年的报告,Buhtrap在2014年首次出现在网络犯罪领域,当时他们以俄罗斯企业为目标。根据赛门铁克的一份报告,随着该组织经验的增加,他们慢慢开始以如俄罗斯银行这样受到良好保护的组织为目标。Group-IB的一份报告称,在2015年8月至2016年2月期间,该组织至少从13家俄罗斯银行窃取了2500多万美元。
但成功并没有持续很长时间,该组织的业务在2016年2月受到重创,当时Buhtrap后门的源代码在网上泄露。从那时起,恶意软件被多个群体使用,不仅仅针对银行,还对在线广告客户进行黑客攻击,传播勒索软件。
ESET的研究人员近日表示,在源代码泄露之前,该组织2015年就转换了策略,也开始针对政府机构。尽管他们的武器库中增加了新工具,并对老工具进行了更新,但不同Buhtrap活动中使用的战术、技术和过程(TTP)在这些年来并没有发生显著变化。
ESET最近发现,Buhtrap首次使用未修补的Windows零日漏洞。以前他们只使用其他黑客组织使用的零日漏洞,且那些零日漏洞往往已被修复。该组织是如何获得零日漏洞仍然是一个需要破解的谜。
至于最近的Buhtrap网络间谍活动的目标,ESET没有透露详细信息。然而,Buhtrap此前曾参与过对东欧和中亚国家政府的网络间谍活动,或许可以从中推测些信息。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
