24/04/23
Специалисты ИБ-компании SecureWorks обнаружили новую кампанию, в ходе которой вредоносное ПО Bumblebee распространяется через поддельную рекламу троянизированных версий ПО ChatGPT, Zoom, Citrix Workspace и Cisco AnyConnect. Это передает Securitylab.
Одна из обнаруженных кампаний началась с рекламы Google, которая продвигала поддельную страницу загрузки Cisco AnyConnect Secure Mobility Client. Реклама перенаправляла жертв на эту страницу через скомпрометированный сайт WordPress.
Вместо легитимного ПО Cisco на этой странице жертва загружает заражённый MSI-установщик BumbleBee.
- CiscoSetup.exe — это легитимный установщик AnyConnect, устанавливающий приложение на компьютер, чтобы избежать подозрений;
- Сценарий PowerShell устанавливает BumbleBee в память устройства, тем самым избегая обнаружения антивирусными программами.
Учитывая, что троянизированное ПО нацелено на корпоративных пользователей, зараженные устройства становятся целями атак программ-вымогателей. Secureworks внимательно изучила одну из недавних атак Bumblebee. Эксперты обнаружили, что злоумышленник использовал свой доступ к скомпрометированной системе для бокового перемещения (Lateral Movement) по сети через 3 часа после первоначального заражения.
Инструменты, которые хакеры развернули во взломанной среде, включают Cobalt Strike, инструменты удаленного доступа AnyDesk и DameWare, утилиты сетевого сканирования, дампер базы данных Active Directory и похититель учетных данных Kerberos.
Такой арсенал создает профиль атаки, который позволяет киберпреступникам определять доступные точки сети, переходить на другие машины, похищать данные и, в конечном итоге, развертывать программы-вымогатели.
