16/02/24
-2.jpg?width=275&height=183&name=images%20(31)-2.jpg)
Вредоносная программа Bumblebee вернулась после четырехмесячного перерыва и атаковала тысячи организаций в США с помощью масштабных фишинговых кампаний.
Bumblebee — это загрузчик, обнаруженный в апреле 2022 года. Предположительно, он был разработан преступными группировками Conti и Trickbot в качестве замены бэкдора BazarLoader.
Софт обычно распространяется в фишинговых письмах для установки дополнительных вредоносных программ на зараженные устройства. Это может быть Cobalt Strike, который используется для первоначального проникновения в сеть, или обычное вымогательское ПО. Об этом пишет Securitylab.
В новой кампании Bumblebee скрывается в поддельных уведомлениях о голосовых сообщениях. Пользователям рассылаются письма якобы от info@quarlessa[.]com с темой «Голосовое сообщение. Февраль».
В тексте письма находится ссылка на OneDrive, при переходе по которой загружается документ Word с именем «ReleaseEvans#96.docm» или похожим названием. Документ содержит макросы для установки Bumblebee.
Использование макросов в документах необычно, учитывая, что Microsoft заблокировала их по умолчанию в 2022 году. Возможно, злоумышленники таким образом пытаются обойти защиту.
Раньше для доставки Bumblebee использовались такие методы, как прямая загрузка DLL, внедрение в HTML и эксплуатация уязвимостей. Это еще одно отличие текущей атаки от более современных способов.
В прошлом Bumblebee уже экспериментировал с документами, содержащими макросы, но такие случаи составляли лишь 4,3% от всех зарегистрированных кампаний.
Перед четырехмесячным перерывом, в сентябре 2023, исследователи отметили новый метод распространения Bumblebee. Тогда злоумышленники начали использовать уязвимости веб-сервиса WebDAV для обхода блокировки и доставки загрузчика на компьютеры жертв.
Хотя новую кампанию пока нельзя приписать каким-либо конкретным злоумышленникам, почерк очень напоминает деятельность группировки TA579.
Эксперты предупреждают, что возвращение Bumblebee может предвещать всплеск киберпреступности в 2024 году. Наряду с ним активизировались и другие вредоносы, например Pikabot.
