- 9,321
- 18
- 8 Ноя 2022
Вредонос пропал с радаров 4 месяца назад, а теперь предстал перед исследователями в еще более изощренном виде.
Вредоносная программа Для просмотра ссылки Войдиили Зарегистрируйся после четырехмесячного перерыва и атаковала тысячи организаций в США с помощью масштабных фишинговых кампаний.
Bumblebee — это загрузчик , обнаруженный в апреле 2022 года. Предположительно, он был разработан преступными группировками Conti и Trickbot в качестве замены бэкдора BazarLoader.
Софт обычно распространяется в фишинговых письмах для установки дополнительных вредоносных программ на зараженные устройства. Это может быть Cobalt Strike, который используется для первоначального проникновения в сеть, или обычное вымогательское ПО.
В новой кампании Bumblebee скрывается в поддельных уведомлениях о голосовых сообщениях. Пользователям рассылаются письма якобы от info@quarlessa[.]com с темой «Голосовое сообщение. Февраль».
В тексте письма находится ссылка на OneDrive, при переходе по которой загружается документ Word с именем «ReleaseEvans#96.docm» или похожим названием. Документ содержит макросы для установки Bumblebee.
Использование макросов в документах необычно, учитывая, что Microsoft заблокировала их по умолчанию в 2022 году. Возможно, злоумышленники таким образом пытаются обойти защиту.
Раньше для доставки Bumblebee использовались такие методы, как прямая загрузка DLL, внедрение в HTML и эксплуатация уязвимостей. Это еще одно отличие текущей атаки от более современных способов.
В прошлом Bumblebee уже экспериментировал с документами, содержащими макросы, но такие случаи составляли лишь 4,3% от всех зарегистрированных кампаний.
Перед четырехмесячным перерывом, в сентябре 2023, исследователи отметили новый метод распространения Bumblebee. Тогда злоумышленники начали использовать уязвимости веб-сервиса Для просмотра ссылки Войдиили Зарегистрируйся для обхода блокировки и доставки загрузчика на компьютеры жертв.
Хотя новую кампанию пока нельзя приписать каким-либо конкретным злоумышленникам, почерк очень напоминает деятельность группировки TA579.
Эксперты предупреждают, что возвращение Bumblebee может предвещать всплеск киберпреступности в 2024 году. Наряду с ним активизировались и другие вредоносы, например Для просмотра ссылки Войдиили Зарегистрируйся .
Вредоносная программа Для просмотра ссылки Войди
Bumblebee — это загрузчик , обнаруженный в апреле 2022 года. Предположительно, он был разработан преступными группировками Conti и Trickbot в качестве замены бэкдора BazarLoader.
Софт обычно распространяется в фишинговых письмах для установки дополнительных вредоносных программ на зараженные устройства. Это может быть Cobalt Strike, который используется для первоначального проникновения в сеть, или обычное вымогательское ПО.
В новой кампании Bumblebee скрывается в поддельных уведомлениях о голосовых сообщениях. Пользователям рассылаются письма якобы от info@quarlessa[.]com с темой «Голосовое сообщение. Февраль».
В тексте письма находится ссылка на OneDrive, при переходе по которой загружается документ Word с именем «ReleaseEvans#96.docm» или похожим названием. Документ содержит макросы для установки Bumblebee.
Использование макросов в документах необычно, учитывая, что Microsoft заблокировала их по умолчанию в 2022 году. Возможно, злоумышленники таким образом пытаются обойти защиту.
Раньше для доставки Bumblebee использовались такие методы, как прямая загрузка DLL, внедрение в HTML и эксплуатация уязвимостей. Это еще одно отличие текущей атаки от более современных способов.
В прошлом Bumblebee уже экспериментировал с документами, содержащими макросы, но такие случаи составляли лишь 4,3% от всех зарегистрированных кампаний.
Перед четырехмесячным перерывом, в сентябре 2023, исследователи отметили новый метод распространения Bumblebee. Тогда злоумышленники начали использовать уязвимости веб-сервиса Для просмотра ссылки Войди
Хотя новую кампанию пока нельзя приписать каким-либо конкретным злоумышленникам, почерк очень напоминает деятельность группировки TA579.
Эксперты предупреждают, что возвращение Bumblebee может предвещать всплеск киберпреступности в 2024 году. Наряду с ним активизировались и другие вредоносы, например Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
