Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Печально известный загрузчик вредоносного ПО и посредник первоначального доступа, известный как Bumblebee, вновь появился после четырехмесячного отсутствия в рамках новой фишинговой кампании, наблюдавшейся в феврале 2024 года.
Компания по корпоративной безопасности Proofpoint заявила, что деятельность нацелена на организации в США с помощью приманок на тему голосовой почты, содержащих ссылки на URL-адреса OneDrive.
"URL-адреса вели к файлу Word с такими именами, как "ReleaseEvans #96.docm" (цифры перед расширением файла изменились)", - сообщила компания в отчете за вторник. "Документ Word подделал компанию Humane, производящую бытовую электронику".
При открытии документа макросы VBA запускают команду PowerShell для загрузки и выполнения другого сценария PowerShell с удаленного сервера, который, в свою очередь, извлекает и запускает загрузчик Bumblebee.
Bumblebee, впервые замеченный в марте 2022 года, в основном предназначен для загрузки и выполнения последующих полезных программ, таких как программы-вымогатели. Оно использовалось несколькими участниками криминальных угроз, которые ранее наблюдали за поставками BazaLoader (он же BazarLoader) и IcedID.
Также подозревается, что оно разработано злоумышленниками Conti и синдикатом киберпреступности TrickBot в качестве замены BazarLoader. В сентябре 2023 года Intel 471 раскрыла кампанию распространения Bumblebee, в ходе которой для распространения загрузчика использовались серверы веб-разработки и управления версиями (WebDAV).
Цепочка атак примечательна своей зависимостью от документов с поддержкой макросов в цепочке атак, особенно с учетом того, что Microsoft начала блокировать макросы в файлах Office, загружаемых из Интернета по умолчанию, начиная с июля 2022 года, что побудило участников угрозы изменить и диверсифицировать свои подходы.
Возвращение Bumblebee также совпадает с появлением новых вариантов QakBot, ZLoader и PikaBot, причем образцы QakBot распространяются в виде файлов установщика программного обеспечения Microsoft (MSI).
"The .MSI удаляет архив Windows .cab (Cabinet), который, в свою очередь, содержит DLL", - сообщила компания по кибербезопасности Sophos на Mastodon. "The .MSI извлекает DLL-файл из .cab и выполняет его с помощью шелл-кода. Шелл-код заставляет DLL создавать вторую копию самой себя и внедрять код бота в область памяти второго экземпляра."
Было обнаружено, что последние артефакты QakBot усиливают шифрование, используемое для сокрытия строк и другой информации, в том числе с использованием <a>вредоносного ПО-шифровальщика</a> под названием DaveCrypter, что усложняет его анализ. Новое поколение также восстанавливает способность определять, было ли вредоносное ПО запущено внутри виртуальной машины или изолированной среды.
Еще одно важное изменение включает шифрование всех сообщений между вредоносным ПО и сервером управления (C2) с использованием AES-256, более надежного метода, чем тот, который использовался в версиях до демонтажа инфраструктуры QakBot в конце августа 2023 года.
"Демонтаж инфраструктуры ботнета QakBot был победой, но создатели бота остаются свободными, и кто-то, у кого есть доступ к исходному коду QakBot, экспериментирует с новыми сборками и тестирует возможности с этими последними вариантами", - сказал Эндрю Брандт, главный исследователь Sophos X-Ops.
"Одно из наиболее заметных изменений связано с изменением алгоритма шифрования, который бот использует для сокрытия конфигураций по умолчанию, жестко закодированных в боте, что затрудняет аналитикам понимание того, как работает вредоносное ПО; злоумышленники также восстанавливают ранее устаревшие функции, такие как распознавание виртуальных машин (VM), и тестируют их в этих новых версиях".
Разработка происходит после того, как Malwarebytes раскрыла новую кампанию, в рамках которой фишинговые сайты, имитирующие финансовые учреждения, такие как Barclays, обманом заставляют потенциальных жертв загружать законное программное обеспечение для удаленного рабочего стола, такое как AnyDesk, якобы для решения несуществующих проблем и, в конечном итоге, позволяют субъектам угрозы получить контроль над компьютером.
Компания по корпоративной безопасности Proofpoint заявила, что деятельность нацелена на организации в США с помощью приманок на тему голосовой почты, содержащих ссылки на URL-адреса OneDrive.
"URL-адреса вели к файлу Word с такими именами, как "ReleaseEvans #96.docm" (цифры перед расширением файла изменились)", - сообщила компания в отчете за вторник. "Документ Word подделал компанию Humane, производящую бытовую электронику".
При открытии документа макросы VBA запускают команду PowerShell для загрузки и выполнения другого сценария PowerShell с удаленного сервера, который, в свою очередь, извлекает и запускает загрузчик Bumblebee.
Bumblebee, впервые замеченный в марте 2022 года, в основном предназначен для загрузки и выполнения последующих полезных программ, таких как программы-вымогатели. Оно использовалось несколькими участниками криминальных угроз, которые ранее наблюдали за поставками BazaLoader (он же BazarLoader) и IcedID.
Также подозревается, что оно разработано злоумышленниками Conti и синдикатом киберпреступности TrickBot в качестве замены BazarLoader. В сентябре 2023 года Intel 471 раскрыла кампанию распространения Bumblebee, в ходе которой для распространения загрузчика использовались серверы веб-разработки и управления версиями (WebDAV).
Цепочка атак примечательна своей зависимостью от документов с поддержкой макросов в цепочке атак, особенно с учетом того, что Microsoft начала блокировать макросы в файлах Office, загружаемых из Интернета по умолчанию, начиная с июля 2022 года, что побудило участников угрозы изменить и диверсифицировать свои подходы.
Возвращение Bumblebee также совпадает с появлением новых вариантов QakBot, ZLoader и PikaBot, причем образцы QakBot распространяются в виде файлов установщика программного обеспечения Microsoft (MSI).
"The .MSI удаляет архив Windows .cab (Cabinet), который, в свою очередь, содержит DLL", - сообщила компания по кибербезопасности Sophos на Mastodon. "The .MSI извлекает DLL-файл из .cab и выполняет его с помощью шелл-кода. Шелл-код заставляет DLL создавать вторую копию самой себя и внедрять код бота в область памяти второго экземпляра."
Было обнаружено, что последние артефакты QakBot усиливают шифрование, используемое для сокрытия строк и другой информации, в том числе с использованием <a>вредоносного ПО-шифровальщика</a> под названием DaveCrypter, что усложняет его анализ. Новое поколение также восстанавливает способность определять, было ли вредоносное ПО запущено внутри виртуальной машины или изолированной среды.
Еще одно важное изменение включает шифрование всех сообщений между вредоносным ПО и сервером управления (C2) с использованием AES-256, более надежного метода, чем тот, который использовался в версиях до демонтажа инфраструктуры QakBot в конце августа 2023 года.
"Демонтаж инфраструктуры ботнета QakBot был победой, но создатели бота остаются свободными, и кто-то, у кого есть доступ к исходному коду QakBot, экспериментирует с новыми сборками и тестирует возможности с этими последними вариантами", - сказал Эндрю Брандт, главный исследователь Sophos X-Ops.
"Одно из наиболее заметных изменений связано с изменением алгоритма шифрования, который бот использует для сокрытия конфигураций по умолчанию, жестко закодированных в боте, что затрудняет аналитикам понимание того, как работает вредоносное ПО; злоумышленники также восстанавливают ранее устаревшие функции, такие как распознавание виртуальных машин (VM), и тестируют их в этих новых версиях".
Разработка происходит после того, как Malwarebytes раскрыла новую кампанию, в рамках которой фишинговые сайты, имитирующие финансовые учреждения, такие как Barclays, обманом заставляют потенциальных жертв загружать законное программное обеспечение для удаленного рабочего стола, такое как AnyDesk, якобы для решения несуществующих проблем и, в конечном итоге, позволяют субъектам угрозы получить контроль над компьютером.
