Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вредоносное ПО Bumblebee получило обновление и новый способ атаки

12/09/22

Согласно отчету Cyble, основанному на открытии исследователя угроз Макса Малютина, новая версия вредоносного загрузчика Bumblebee теперь обладает новой цепочкой заражения, использующей инфраструктуру PowerSploit для скрытого внедрения полезной нагрузки DLL в память (Reflective DLL Injection).

В рамках атаки хакеры отправляют по электронной почте защищенные паролем заархивированные VHD-файлы (Virtual Hard Disk), которые содержат LNK-файл для выполнения полезной нагрузки.

content-img(432)

Вместо прямого запуска Bumblebee (DLL) LNK запускает окно PowerShell и скрывает его от пользователя с помощью команды «ShowWindow».

Первый этап заражения использует Base64 и конкатенацию строк, чтобы избежать обнаружения антивирусным ПО при загрузке второго этапа загрузчика PowerShell.

Второй этап имеет ту же обфускацию, что и первый, и содержит модуль PowerSploit для загрузки Bumblebee в память процесса PowerShell с помощью техники Reflective DLL Injection.

PowerSploit — это open-source инструмент постэксплуатации, в котором вредоносное ПО использует метод « Invoke-ReflectivePEInjection » для рефлективной загрузки DLL в процесс PowerShell, поясняет Securitylab. Этот метод проверяет встроенный файл и выполняет несколько проверок, чтобы убедиться, что файл правильно загружен в исполняющую систему.

Новый способ загрузки позволяет Bumblebee загружаться из памяти и никогда не взаимодействовать с диском хоста, что сводит к минимуму шансы обнаружения.

Повышая свою скрытность, Bumblebee становится более мощной угрозой для начального доступа и увеличивает свои шансы привлечь операторов программ-вымогателей и других вредоносных программ, которые ищут способы развертывания своей полезной нагрузки.

 

Темы:УгрозыпаролиCyblePowerSploit
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...