Publié le 11/07/2019 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le group Buhtrap est bien connu pour cibler des institutions financières ainsi que des entreprises (businesses )en Russie. Cependant, depuis la fin de 2015, ESET a été temoin d’un changement intéressant en ce qui concerne le profil des cibles traditionnelles du groupe. Evoluant d’un groupe purement criminel spécialisé en cybercriminalité pour le gain financier, leurs outils se sont étendus aux logiciels malveillants permettant l’espionnage.
«C’est toujours difficile d’attribuer une campagne à un acteur particulier quand le code source de leurs outils est disponible gratuitement sur la toile. Mais puisque le changement de cible c’est passé avant la ‘fuite’ du code source, nous avons évalué avec grande certitude que les personnes responsables des premières attaques par logiciels malveillants contre les entreprises et les banques sont aussi celles impliquées dans le ciblage d’institutions gouvernementales, » explique Jean-Ian Boutin, un chercheur de premier plan chez ESET. «On ne peut dire clairement si un ou plusieurs membres du groupe ont décidé de changer de cible et pour quelles raisons, mais à l’avenir c’est quelque chose que nous devrions voir d’avantage, » ajoute le chercheur.
Evénements importants dans la chronologie de Buhtrap00_Timeline_Buhtrap
Comme le montre la recherche d’ESET, et bien que de nouveaux outils aient été ajoutés à leur panoplie et que des mises à jours de leurs anciens outils aient été effectuées, les tactiques, techniques et procédures utilisées lors des différentes campagnes Buhtrap n’ont pas changé de façon drastique au cours des années. Les documents utilisés pour fournir les charges malveillantes sont souvent accompagnés de documents de leurre bénins afin de ne pas éveiller la suspicion de la victime au ou celle-ci les ouvrirait. L’analyse de ces documents fournit des pistes aux chercheurs leur permettant d’identifier qui sont les cibles. Les outils utilisés dans les campagnes d’espionnage étaient fort semblables à ceux utilisés contre des entreprises et des institutions financières.
Lors de cette campagne spécifique, le logiciel malveillant contenait un voleur de mot de passe qui essayait de récolter des mots de passe à partir de clients de messagerie, de navigateurs, etc. et les envoyait à un serveur de commande et de contrôle. Le logiciel malveillant fournissait ainsi un accès complet au système infecté à ses opérateurs.
ESET a informé le Centre de Réponse de Sécurité de Microsoft, qui a remédié à cette vulnérabilité et a publié un correctif.
Pour plus de détails au sujet de Buhtrap et de sa nouvelle campagne, lisez Buhtrap group uses zero-day in espionage campaigns sur WeLiveSecurity.com.
Pour plus d’information sur l’offre de sécurité d’ESET et l’e-book gratuit, rendez-vous sur https://www.eset.com/be-fr/professionnels/data-protection-ebook/
«C’est toujours difficile d’attribuer une campagne à un acteur particulier quand le code source de leurs outils est disponible gratuitement sur la toile. Mais puisque le changement de cible c’est passé avant la ‘fuite’ du code source, nous avons évalué avec grande certitude que les personnes responsables des premières attaques par logiciels malveillants contre les entreprises et les banques sont aussi celles impliquées dans le ciblage d’institutions gouvernementales, » explique Jean-Ian Boutin, un chercheur de premier plan chez ESET. «On ne peut dire clairement si un ou plusieurs membres du groupe ont décidé de changer de cible et pour quelles raisons, mais à l’avenir c’est quelque chose que nous devrions voir d’avantage, » ajoute le chercheur.
Evénements importants dans la chronologie de Buhtrap00_Timeline_Buhtrap
Comme le montre la recherche d’ESET, et bien que de nouveaux outils aient été ajoutés à leur panoplie et que des mises à jours de leurs anciens outils aient été effectuées, les tactiques, techniques et procédures utilisées lors des différentes campagnes Buhtrap n’ont pas changé de façon drastique au cours des années. Les documents utilisés pour fournir les charges malveillantes sont souvent accompagnés de documents de leurre bénins afin de ne pas éveiller la suspicion de la victime au ou celle-ci les ouvrirait. L’analyse de ces documents fournit des pistes aux chercheurs leur permettant d’identifier qui sont les cibles. Les outils utilisés dans les campagnes d’espionnage étaient fort semblables à ceux utilisés contre des entreprises et des institutions financières.
Lors de cette campagne spécifique, le logiciel malveillant contenait un voleur de mot de passe qui essayait de récolter des mots de passe à partir de clients de messagerie, de navigateurs, etc. et les envoyait à un serveur de commande et de contrôle. Le logiciel malveillant fournissait ainsi un accès complet au système infecté à ses opérateurs.
ESET a informé le Centre de Réponse de Sécurité de Microsoft, qui a remédié à cette vulnérabilité et a publié un correctif.
Pour plus de détails au sujet de Buhtrap et de sa nouvelle campagne, lisez Buhtrap group uses zero-day in espionage campaigns sur WeLiveSecurity.com.
Pour plus d’information sur l’offre de sécurité d’ESET et l’e-book gratuit, rendez-vous sur https://www.eset.com/be-fr/professionnels/data-protection-ebook/