10.09.2022 | Вредоносное ПО Bumblebee получило обновление и новый способ атаки |
Согласно отчету Cyble , основанному на открытии исследователя угроз Макса Малютина, новая версия вредоносного загрузчика Bumblebee теперь обладает новой цепочкой заражения, использующей инфраструктуру PowerSploit для скрытого внедрения полезной нагрузки DLL в память (Reflective DLL Injection). В рамках атаки хакеры отправляют по электронной почте защищенные паролем заархивированные VHD-файлы (Virtual Hard Disk), которые содержат LNK-файл для выполнения полезной нагрузки. Файлы, используемые в кампании Вместо прямого запуска Bumblebee (DLL) LNK запускает окно PowerShell и скрывает его от пользователя с помощью команды «ShowWindow». Первый этап заражения использует Base64 и конкатенацию строк, чтобы избежать обнаружения антивирусным ПО при загрузке второго этапа загрузчика PowerShell. Второй этап имеет ту же обфускацию, что и первый, и содержит модуль PowerSploit для загрузки Bumblebee в память процесса PowerShell с помощью техники Reflective DLL Injection. PowerSploit — это open-source инструмент постэксплуатации, в котором вредоносное ПО использует метод « Invoke-ReflectivePEInjection » для рефлективной загрузки DLL в процесс PowerShell. Этот метод проверяет встроенный файл и выполняет несколько проверок, чтобы убедиться, что файл правильно загружен в исполняющую систему. Новый способ загрузки позволяет Bumblebee загружаться из памяти и никогда не взаимодействовать с диском хоста, что сводит к минимуму шансы обнаружения. Повышая свою скрытность, Bumblebee становится более мощной угрозой для начального доступа и увеличивает свои шансы привлечь операторов программ-вымогателей и других вредоносных программ, которые ищут способы развертывания своей полезной нагрузки. |
Проверить безопасность сайта