Зловредният софтуер Bumblebee, насочен към предприятия, се разпространява чрез реклами в Google и SEO отравяне, които популяризират популярен софтуер като Zoom, Cisco AnyConnect, ChatGPT и Citrix Workspace.

Bumblebee е злонамерен зареждащ софтуер, открит през април 2022 г., за който се смята, че е разработен от екипа на Conti като заместител на задната врата BazarLoader, използвана за получаване на първоначален достъп до мрежи и провеждане на атаки с цел откуп.

През септември 2022 г. в дивата природа е наблюдавана нова версия на зареждащия зловреден софтуер, включваща по-скрита верига от атаки, която използва рамката PowerSploit за отразяващо инжектиране на DLL в паметта.

Изследователите от Secureworks наскоро откриха нова кампания, използваща реклами в Google, които популяризират троянски версии на популярни приложения, за да доставят зареждащия зловреден софтуер на нищо неподозиращи жертви.

Скриване в популярни приложения

Една от кампаниите, забелязани от Secureworks, започва с реклама в Google, която популяризира фалшива страница за изтегляне на Cisco AnyConnect Secure Mobility Client, създадена на 16 февруари 2023 г. и хоствана на домейн „appcisco[.]com“.

„Веригата от инфекции, която започна със злонамерена реклама в Google, изпрати потребителя до тази фалшива страница за изтегляне чрез компрометиран сайт на WordPress“, се обяснява в доклада на SecureWorks.

Тази фалшива целева страница популяризира троянски MSI инсталатор на име „cisco-anyconnect-4_9_0195.msi“, който инсталира зловредния софтуер BumbleBee.

При изпълнението му на компютъра на потребителя се копират копие на легитимния инсталатор на програмата и скрипт на PowerShell с измамно име (cisco2.ps1).

CiscoSetup.exe е легитимният инсталатор за AnyConnect, който инсталира приложението на устройството, за да избегне подозрения.

Скриптът PowerScrip обаче инсталира зловредния софтуер BumbleBee и извършва злонамерена дейност на компрометираното устройство.

„Скриптът PowerShell съдържа селекция от преименувани функции, копирани от скрипта PowerSploit ReflectivePEInjection.ps1“, обяснява Secureworks.

„Той съдържа и кодиран полезен товар на зловреден софтуер Bumblebee, който се зарежда рефлективно в паметта.“

Това означава, че Bumblebee все още използва същия модул на рамката след експлоатирането, за да зареди зловредния софтуер в паметта, без да предизвиква никакви аларми от съществуващите антивирусни продукти.

Secureworks откри и други софтуерни пакети с двойки файлове с подобни имена, като ZoomInstaller.exe и zoom.ps1, ChatGPT.msi и chch.ps1 и CitrixWorkspaceApp.exe и citrix.ps1.

Пътят  към ransomware

Като се има предвид, че троянският софтуер е насочен към корпоративни потребители, заразените устройства са кандидати за начало на атаки с откупващ софтуер.

Secureworks проучи отблизо една от последните атаки на Bumblebee. Те установиха, че хакерът е използвал достъпа си до компрометираната система, за да се придвижи странично в мрежата приблизително три часа след първоначалното заразяване.

Инструментите, които нападателите са използвали в нарушената среда, включват пакета за тестване Cobalt Strike, инструментите за отдалечен достъп AnyDesk и DameWare, помощни програми за сканиране на мрежата, програма за изхвърляне на бази данни AD и програма за кражба на пълномощия Kerberos.

Този арсенал създава профил на атаката, който прави много вероятно операторите на зловредния софтуер да се интересуват от идентифициране на достъпни мрежови точки, прехвърляне към други машини, ексфилтриране на данни и евентуално разгръщане на софтуер за откуп.

Базова информация и инфографики: Secureworks 

Източник: По материали от Интернет

Подобни публикации

22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
21 януари 2025

2025: Управление на повърхността на атаката

Бизнес трансформацията предефинира управлението на повърхността на ...
21 януари 2025

Нарушаване на сигурността на данните в PowerSchool

Базираният в Калифорния гигант в областта на образователните технол...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

Нарушаване на сигурността н...

Базираният в Калифорния гигант в областта...
Последно добавени
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
22/01/2025

Хиперволуметричните DDoS ат...

Най-голямата до момента разпределена атака за...
22/01/2025

Тръмп уволнява Съвета за ки...

В писмо, изпратено днес, изпълняващият длъжността...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!