信息來源：hackernews

Buhtrap黑客組織已將其目標從俄羅斯金融業(yè)務和機構轉移。自2015年12月進行網絡間諜活動以來，其影響最大的活動是在2019年6月期間使用了近期修補的Windows零日漏洞。

Windows本地權限提升零日漏洞（CVE-2019-1132）被Buhtrap濫用于其攻擊，它允許犯罪組織在內核模式下運行任意代碼。微軟在本月的補丁星期二修復了此漏洞。

盡管Buhtrap自2014年以來不斷攻擊銀行客戶，但它直到一年之后才被檢測到。根據(jù)Group-IB和ESET研究人員的說法，它從2015年以后便開始尋找金融機構等更高級的目標。Group-IB報告稱，“從2015年8月到2016年2月，Buhtrap成功對俄羅斯銀行進行了13次攻擊，總金額達18億盧布（2570萬美元）”。

被Buhtrap利用的Windows零日漏洞
ESET研究人員通過多個有針對性的活動觀察到黑客組織的工具集“是如何通過用于在東歐和中亞進行間諜活動的惡意軟件進行擴展的”。

2019年6月，Buhtrap利用零日漏洞攻擊政府機構，主要攻擊方式是濫用舊版Windows中的“win32k.sys組件中空指針的逆向引用”。

轉為網絡間諜

Buhtrap發(fā)展過程

“當他們在網上免費提供工具源代碼的時候，很難將行為歸罪于特定的參與者，”ESET說， “然而，因為他們在源代碼泄露之前更改了目標，所以我們確信首批對企業(yè)和銀行進行Buhtrap惡意軟件攻擊的人也參與了針對政府機構的攻擊?！?

此外，“盡管新的工具已經添加到他們的武器庫中并且更新可以應用于舊版本，但不同的Buhtrap活動中使用的策略，技術和程序（TTP）在這些年中并沒有發(fā)生顯著變化?！?

ESET在關于Buhtrap集團網絡間諜活動的報告最后提供了一份完整的IOC表單，其中包括C2服務器領域，惡意軟件樣本哈希，代碼簽名證書指紋以及MITRE ATT＆CK技術的表格。