El laboratorio de ESET ha informado sobre un ataque dirigido a Europa del Este que se aprovechaba de una vulnerabilidad para la que no existía solución (zero-day). El exploit usado por los atacantes se aprovechaba de una vulnerabilidad de escalada de privilegios locales en Microsoft Windows. Los investigadores de ESET, la mayor empresa de ciberseguridad de la Unión Europea, han podido identificar a los perpetradores del ataque: se trata del infame Buhtrap APT, un grupo de ciberdelincuentes que se centra en las operaciones de espionaje en Europa del Este y Asia Central. Por primera vez, ESET los ha visto aprovechar una vulnerabilidad zero-day como parte de una campaña.
El grupo Buhtrap es bastante conocido por dirigir sus ataques y operaciones tanto a instituciones financieras como a empresas en Rusia. Sin embargo, desde finales de 2015, hemos sido testigos de un cambio interesante en el perfil de los objetivos tradicionales del grupo, que ha evolucionado desde ser un grupo criminal puro que comete delitos cibernéticos con fines de lucro hasta desarrollar un conjunto de herramientas de malware para realizar espionaje.
«Siempre es difícil atribuir una campaña a un actor en particular cuando el código fuente de sus herramientas está disponible gratuitamente en la web. Sin embargo, como el cambio en el objetivo se produjo antes de que se filtrara el código fuente, hemos descubierto con bastante fiabilidad que las mismas personas que están detrás de los primeros ataques de malware Buhtrap contra empresas y bancos ahora también participan en los ataques a instituciones gubernamentales«, explica Jean-Ian Boutin, investigador de ESET. «No está claro si uno o varios miembros de este grupo decidieron cambiar de enfoque y por qué razones, pero definitivamente es una tendencia que es probable que sigamos observando más en el futuro«, agrega.
Como desvela la investigación de ESET, aunque se han agregado nuevas herramientas a su arsenal y se han aplicado actualizaciones a las antiguas, las tácticas, técnicas y procedimientos utilizados en las diferentes campañas y ataques de Buhtrap no han cambiado demasiado en los últimos años.
Los documentos empleados para distribuir el malware a menudo aparecen con documentos trampa aparentemente benignos para evitar levantar sospechas si la víctima los abre. El análisis de estos documentos proporciona pistas a los investigadores sobre quiénes podrían ser los objetivos. Las herramientas utilizadas en las campañas de espionaje fueron muy similares a las utilizadas contra empresas e instituciones financieras en el pasado.
En relación a esta campaña específica, el malware permitía robar contraseñas de clientes de correo y navegadores, entre otros y enviarlas a un servidor de mando y control. El malware también otorgaba a sus operadores el acceso total al sistema comprometido. ESET ha infromado sobre esta vulnerabilidad al Centro de Respuesta de Seguridad de Microsoft, que ha corregido la vulnerabilidad y lanzado un parche.
Para conocer más detalles sobre Buhtrap y su última campaña se puede ampliar información en WeLiveSecurity.com.