Όπως αναφέρθηκε ήδη σε προηγούμενο άρθρο που θα βρείτε εδώ, το Patch Tuesday της Microsoft για τον Ιούλιο του 2019 φέρει 77 ελαττώματα, μεταξύ των οποίων και κάποια πολύ επικίνδυνα. Το πρώτο ελάττωμα με κωδικό όνομα CVE-2019-1132, αφορά το στοιχείο Win32k και θεωρητικά μπορεί να χρησιμοποιηθεί για εκτέλεση κώδικα. To δεύτερο, που έχει το όνομα CVE-2019.0880 έχει επιρροή στα Windows 7 και στο Server 2008. Στην πράξη έχει να κάνει με τον τρόπο που το splwow64 χειρίζεται κάποιες κλήσεις.Ειδικοί του ESET αναφέρουν ότι το zero-day ελάττωμα CVE-2019-1132 των Windows, έδωσε την ευκαιρία σε μια ομάδα με όνομα Buhtrap να επιτεθεί στοχευμένα σε έναν κυβερνητικό οργανισμό Ανατολικά της Ευρώπης.
Ήταν και η πρώτη φορά, που η Buhtrap χρησιμοποίησε zero-day ευπάθεια για να πραγματοποιήσει μια επίθεση. Όμως δεν ήταν η πρώτη φορά που έκανε την εμφάνισή της. Από το 2015 μέχρι σήμερα έχει πραγματοποιήσει με επιτυχία 13 επιθέσεις εναντίον χρηματοπιστωτικών ιδρυμάτων, κλέβοντας περισσότερα από 1,8 δισεκατομμύρια RUB (περίπου 27,4 εκατομμύρια δολάρια). Σύμφωνα με την ESET, η ομάδα ονομάστηκε έτσι από τις λέξεις Buhgalter( που σημαίνει λογιστής στα Ρωσικά) και trap -όπως λέμε παγίδα. Οι επιθέσεις της πραγματοποιούνται μέχρι τώρα στη Ρωσία και την Ουκρανία, όπως το αντίστοιχο group Anunak/Carbanak.
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
Χάκερ χρησιμοποιούν webcam χωρίς να εντοπίζονται
Αστεροειδής φλέγεται πάνω από τη Σιβηρία
Η ESET ανέφερε άμεσα στην Microsoft την επίθεση, η οποία βασίζονταν popup μενού. Επιτέθηκαν λοιπόν, χρησιμοποιώντας ένα έγγραφο για να προωθήσουν ένα backdoor, που έχει τη δυνατότητα κλοπής πληροφοριών και δεδομένων μέσω ενός module που λέγεται “grabber”. Το grabber είναι ένα αυτόνομο εργαλείο κλοπής κωδικών πρόσβασης. Αφού αποσπάσει τους κωδικούς που θέλει, τους αποστέλλει αμέσως σε προγραμματισμένους servers.
Το δεύτερο module είναι κάτι πιο αναμενόμενο από τους Buhtrap. Ένα πρόγραμμα εγκατάστασης NSIS, που περιέχει μια νόμιμη εφαρμογή που θα καταστραφεί για να φορτώσει το κεντρικό backdoor του Buhtrap. Η νόμιμη εφαρμογή που καταχράται σε αυτήν την περίπτωση είναι η AVZ, ένα free antivirus.
Ακόμα δεν είμαστε σε θέση να γνωρίζουμε γιατί η συγκεκριμένη ομάδα, λειτούργησε με αυτόν τον τρόπο, όμως είναι πολύ πιθανό εν καιρώ να κάνει πάλι την εμφάνιση της.