MKD-CIRT National Centre for Computer Incident Response
Bumblebee малициозниот софтвер се дистрибуира преку Google Ads и SEO poisoning кои промовираат популарни софтвери како Zoom, Cisco AnyConnect, ChatGPT и Citrix Workspace.
Bumblebee е малициозен софтвер откриен во април 2022 година, за кој се смета дека е развиен од тимот на Conti како замена за BazarLoader backdoor, што се користи за добивање првичен пристап до мрежите и ширење на ransomware напади.
Во септември 2022 година, беше забележана нова верзија на малициозниот софтвер, со посериозен синџир на напади што ја користеше PowerSploit рамката за рефлективно DLL вметнување во меморијата.
Истражувачите од Secureworks неодамна открија нова кампања која користи Google реклами кои промовираат тројанизирани верзии на популарни апликации за да го достават вчитувачот на малициозен софтвер до доверливите жртви.
Една од кампањите забележана од страна на SecureWorks започна со Google реклама која промовираше лажна Cisco AnyConnect Secure Mobility Client страница за преземање, создадена на 16 февруари 2023 година, и хостирана на домен „appcisco[.]com“.
„Синџирот на инфекции што започна со малициозна Google реклама го испрати корисникот на оваа лажна страница за преземање преку компромитирана WordPress страница“, стои во извештајот на SecureWorks.
Оваа лажна страница промовираше тројанизиран MSI инсталатер наречен „cisco-anyconnect-4_9_0195.msi“ кој го инсталира малициозниот софтвер BumbleBee.
По извршувањето, на компјутерот на корисникот се копира копија од легитимниот инсталатер на програмата и лажно именувана (cisco2.ps1) PowerShell скрипта.
CiscoSetup.exe е легитимен инсталатер за AnyConnect, инсталирајќи ја апликацијата на уредот со цел да избегне сомнеж.
Сепак, PowerScrip скриптата го инсталира BumbleBee малверот и спроведува малициозни активности на компромитираниот уред.
„PowerShell скриптата содржи избор на преименувани функции копирани од PowerSploit ReflectivePEInjection.ps1 скриптата“, објаснува Secureworks.
„Исто така, содржи кодиран payload на Bumblebee малверот што рефлективно го вчитува во меморијата“.
Ова значи дека Bumblebee сè уште го користи истиот модул по експлоатација за да го вчита малициозниот софтвер во меморијата без да крева аларми од постоечките антивирусни производи.
Secureworks пронајде други софтверски пакети со слично именувани парови на датотеки како ZoomInstaller.exe и zoom.ps1, ChatGPT.msi и chch.ps1 и CitrixWorkspaceApp.exe и citrix.ps1.
Имајќи предвид дека тројанизираниот софтвер ги таргетира корпоративните корисници, заразените уреди стануваат кандидати за почеток на ransomware напади.
Secureworks внимателно испита еден од неодамнешните Bumblebee напади. Тие открија дека хакерот го искористил нивниот пристап до компромитираниот систем за да се движи странично во мрежата приближно три часа по првичната инфекција.
Алатките што напаѓачите ги распоредиле на пробиената околина вклучуваат Cobalt Strike пакет за тестирање, алатки за далечински пристап AnyDesk и DameWare, алатки за мрежно скенирање и Kerberos крадец на ингеренции.
Овој арсенал создава профил за напад што ја прави многу веројатно дека напаѓачите се заинтересирани да идентификуваат пристапни мрежни точки, да се свртат кон други машини, да ексфилтрираат податоци и на крајот да шират ransomware.
Извор: BleepingComputer
