Компания ESET сообщает о том, что киберпреступники, стоящие за организацией атаки Buhtrap, переключились на шпионскую деятельность, а жертвами злоумышленников становятся государственные и общественные организации в странах Восточной Европы и Центральной Азии.
Ещё весной 2015 года была раскрыта киберкампания «Операция Buhtrap» («ловушка для бухгалтера»), нацеленная на российский бизнес. Однако злоумышленники, стоящие за этой атакой, ведут свою деятельность как минимум с 2014 года.
В конце 2015-го группировка переключилась на банки и госучреждения. В качестве приманок использовались поддельные документы об изменении правил в банковской сфере, а также рекомендации Центробанка России.
А недавно компания ESET зафиксировала атаку с использованием уязвимости нулевого дня в компоненте win32k.sys операционных систем Windows. Использованное вредоносное ПО стремилось собрать пароли от почтовых клиентов и браузеров и переслать информацию на командный сервер злоумышленников. Программа также предоставляла своим операторам полный доступ к скомпрометированной системе.
Как оказалось, в ходе этой атаки применялся один из модулей стандартного загрузчика группировки Buhtrap. Кроме того, был задействован набор дропперов и загрузчиков, попадающих на устройства жертвы под видом легитимных программ.
Судя по всему, отмечает ESET, на данный момент целью группировки стал кибершпионаж за различными организациями. Такие атаки могут носить таргетированный характер, что повышает их эффективность.