El grupo de ciberdelincuentes de Buhtrap, que se cree está operando fuera de Rusia, ha regresado con una nueva campaña que explota una vulnerabilidad de día cero en Windows para llevar a cabo operaciones de ciberespionaje. La falla en cuestión es la vulnerabilidad de escalada de privilegios locales en Microsoft Windows (SB2019070905 – CVE-2019-1132), específicamente una diferencia de puntero NULL en el componente win32k.sys. Se lanzó esta semana una solución para el error, que afecta a Windows 7, Windows Server 2008 y 2008 R2, como parte de las actualizaciones de seguridad de Patch Tuesday de julio.
Los ataques en curso fueron descubiertos por investigadores de ESET, que hoy han publicado un informe que detalla sus hallazgos. El grupo Buhtrap es conocido principalmente por sus campañas de piratería contra las instituciones financieras y las empresas en Rusia, pero en 2015 el grupo criminal que antes solo cometía delitos cibernéticos con el objetivo de robar dinero, cambió su enfoque y expandió su arsenal con el malware utilizado para realizar espionaje en Europa del este y Asia Central. La lista de sus objetivos incluía agencias e instituciones gubernamentales.
Mientras que en campañas anteriores, el grupo ha estado utilizando explotaciones de días cero anteriores desarrolladas por otros hackers, los ataques recientes marcan la primera vez que los operadores de Buhtrap utilizan un día cero real. El exploit para CVE-2019-1132 creado por el grupo Buhtrap se basa en los objetos del menú emergente, una técnica que se ha utilizado para varias vulnerabilidades en los últimos años, explicaron los investigadores en otra publicación del blog que contiene un análisis técnico detallado de la vulnerabilidad y el proceso de explotación.
El grupo Buhtrap apareció por primera vez en el 2014, cuando comenzó a dirigirse a empresas rusas con malware personalizado. A medida que el grupo adquirió experiencia, se volvió más audaz y volvió a enfocar su objetivo en objetivos bien protegidos, como los bancos rusos y las instituciones financieras. Sin embargo, las operaciones del grupo se interrumpieron en febrero de 2016, cuando se filtró en línea el código fuente de la puerta trasera de Buhtrap llamada de manera homónima.
“Siempre es difícil atribuir una campaña a un actor en particular cuando el código fuente de sus herramientas está disponible gratuitamente en la web. Sin embargo, como el cambio en los objetivos se produjo antes de que se filtrara el código fuente, evaluamos con gran confianza que las mismas personas detrás de los primeros ataques de malware Buhtrap contra empresas y bancos también participan en las instituciones gubernamentales “, dijeron los investigadores.
Según ESET, mientras los ciberdelincuentes actualizaron su kit de herramientas con el nuevo malware, las tácticas, técnicas y procedimientos (TTP) utilizados en las diferentes campañas de Buhtrap en el pasado no han cambiado drásticamente a lo largo de los años. El grupo sigue utilizando los instaladores de NSIS como medio para descargar la puerta trasera de Buhtrap, que se entrega a las víctimas en forma de documentos maliciosos. Además, varias de sus herramientas están firmadas con certificados de firma de código válidos y abusan de una aplicación legítima conocida para cargar lateralmente sus cargas maliciosas.
Recientemente, los investigadores descubrieron una nueva variante del instalador de NSIS que difiere de las versiones anteriores utilizadas por el grupo Buhtrap. Es mucho más simple y sirve para lograr la persistencia y lanzar dos módulos maliciosos incrustados en él. El primer módulo es un ladrón de contraseñas que recopila contraseñas de clientes de correo, navegadores, etc., y las envía a un servidor controlado por un atacante. El segundo es un instalador de NSIS con una aplicación legítima utilizada para cargar lateralmente la puerta trasera principal de Buhtrap.
ESET no reveló los objetivos de la reciente campaña de ciberespionaje de Buhtrap. Además, no está claro cómo exactamente los piratas informáticos lograron hacerse con el día cero, pero los investigadores especulan que los operadores de Buhtrap pueden haber adquirido el exploit a través de agentes o agentes de exploits, quienes “podrían estar vendiendo su antiguo inventario de exploits a bajo precio”, considerando el soporte de Microsoft. para Windows 7, Windows Server 2008 y 2008 R2 se acerca a su término.