Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Загрузчик Bumblebee возобновил свою активность

20/09/23

hack142-3

После двухмесячного перерыва вредоносный загрузчик Bumblebee возобновил свою активность. Исследователи из организации Intel471 обнаружили, что кампания злоупотребляет услугами WebDAV на хостинговой платформе 4shared. Эта платформа упоминалась в отчете правительства США 2016 года как сервис для размещения материалов, нарушающих авторские права. Использование 4shared не только обеспечивает надежность инфраструктуры для операторов Bumblebee, но и позволяет избежать блокировок. Об этом пишет Securitylab.

Интеграция с протоколом WebDAV, расширяющим стандартные возможности HTTP, предоставляет злоумышленникам несколько путей для обхода систем поведенческого анализа. Это также облегчает распространение вредоносного ПО и смену типа атаки после первоначального заражения.

В этой кампании операторы Bumblebee активно используют мошеннические электронные письма. Чтобы заманить жертв, они маскируют эти сообщения под сканы, счета и уведомления. В основном вложения в письмах представлены файлами с расширением LNK, хотя иногда встречаются и ZIP-архивы с такими же файлами. Вероятно, злоумышленники экспериментируют, чтобы выработать самый эффективный способ доставки вредоносного кода.

Открытие файла LNK активирует на компьютере жертвы последовательность команд. Процесс атаки начинается с присоединения WebDAV-папки к сетевому диску. Для этого используются учетные данные, заранее внедренные в код, для доступа к облачному хранилищу на 4shared. Далее следуют шаги по загрузке, извлечению и выполнению вредоносных элементов.

Обновленный загрузчик работает на протоколе TCP (по всей видимости, от прежнего WebSocket его создатели решили отказаться). Кроме того, Bumblebee теперь применяет алгоритм, который автоматически создаёт около 100 интернет-доменов в зоне ".life". В этом помогает 64-битное статическое "семя" — начальное число, на основе которого генерируются сетевые адреса. Изменения также усложняют задачу по блокировке и выведению из строя инфраструктуры программы.

Раньше Bumblebee ассоциировался с распространением вымогательских ПО, таких как Conti и Akira. Его возвращение с усовершенствованными методами распространения и обхода защитных мер представляет собой серьезную угрозу. С учетом нововведений вроде алгоритма генерации доменов и протокола TCP для связи с серверами управления, загрузчик становится еще более непредсказуемым и устойчивым к блокировкам.

Темы:Преступленияэлектронная почтаIntel 471вредоносные загрузчики
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Секреты опасных писем
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н.
    Электронная почта остается основной целью атак, а безопасность должна быть комплексной – об этом в преддверии нового года мы побеседовали с Юрием Ивановым, кандидатом технических наук, техническим директором компании “АВ Софт”, руководителем направления машинного обучения.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...