На смену BazarLoader пришел вредонос Bumblebee - «Новости» » Интернет технологии
sitename
Роботакси «Яндекса» не нужен интернет и GPS — машины ездят с сантиметровой точностью по лидарам - «Новости сети»
Роботакси «Яндекса» не нужен интернет и GPS — машины ездят с сантиметровой точностью по лидарам - «Новости сети»
TSMC запустила завод полного цикла по сборке 3D-чипов из чиплетов - «Новости сети»
TSMC запустила завод полного цикла по сборке 3D-чипов из чиплетов - «Новости сети»
Inno3D показала GeForce RTX 4070 и RTX 4060 Ti со «скрытыми» разъёмами питания - «Новости сети»
Inno3D показала GeForce RTX 4070 и RTX 4060 Ti со «скрытыми» разъёмами питания - «Новости сети»
Роглайт-шутер Witchfire от бывших разработчиков Painkiller и Bulletstorm будет больше похож на Dark Souls, чем DOOM — новый трейлер и дата выхода в EGS - «Новости сети»
Роглайт-шутер Witchfire от бывших разработчиков Painkiller и Bulletstorm будет больше похож на Dark Souls, чем DOOM — новый трейлер и дата выхода в EGS - «Новости сети»
Ради доступа к GPT-4 люди воруют плохо защищенные ключи API - «Новости»
Ради доступа к GPT-4 люди воруют плохо защищенные ключи API - «Новости»
Американская Binance отказалась от работы с долларами — давление на биржу нарастает - «Новости сети»
Американская Binance отказалась от работы с долларами — давление на биржу нарастает - «Новости сети»
60 000 приложений для Android распространяли рекламную малварь - «Новости»
60 000 приложений для Android распространяли рекламную малварь - «Новости»
Десятки модов для Minecraft заражены малварью Fracturiser - «Новости»
Десятки модов для Minecraft заражены малварью Fracturiser - «Новости»
Вымогатели генерируют обнаженку, используя ИИ и фото жертв из соцсетей - «Новости»
Вымогатели генерируют обнаженку, используя ИИ и фото жертв из соцсетей - «Новости»
Хакеры сливают данные клиентов «Буквоеда», «Твое», «Едим Дома» и «Леруа Мерлен» - «Новости»
Хакеры сливают данные клиентов «Буквоеда», «Твое», «Едим Дома» и «Леруа Мерлен» - «Новости»

По данным экспертов компании Proofpoint, хакеры, ранее осуществлявшие доставку малвари BazaLoader и IcedID, связанной с известными вымогательским группами Conti и Diavol, перешли на новый загрузчик под названием Bumblebee, который пока находится в разработке.


Bumblebee представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики.


«Судя по времени его появления и использованию сразу несколькими преступными группами, вероятно, Bumblebee является если не прямой заменой BazaLoader, то новым многофункциональным инструментом, используемым хакерами, которые обычно отдавали предпочтение другим вредоносным программам», — рассказывают специалисты.


Отчет компании гласит, что использование Bumblebee началось в феврале-марте текущего года, и было связано с полезными нагрузками малвари, которая, в свою очередь, связана с вымогательскими кампаниями. В частности, в марте эксперты Google рассказывали о хакерской группировке Exotic Lily, которая является брокером доступов и сотрудничает с такими известными вымогателями как Conti и Diavol. Уже тогда специалисты заметили Bumblebee, который стал применяться вместо привычного для злоумышленников BazarLoader.


Proofpoint пишет, что наблюдала несколько почтовых спам-кампаний, распространяющих Bumblebee под видом образов ISO (которые содержали ярлыки и DLL-файлы), документов DocuSign и файлов  HTML.





Исследователи говорят, что Bumblebee — это «новый, очень сложный загрузчик вредоносного ПО», который объединяет в себе сложные методы уклонения об обнаружения, приемы антианализа и сложные методы антивиртуализации.


Также аналитики Proofpoint и Cybereason заметили сходство Bumblebee с малварью TrickBot, в частности, были обнаружены сходства в методах доставки и сбрасываемых пейлоадах. Также отмечалось, что оба вредоноса используют один и тот же механизм установки хуков, технику уклонения от RapportGP.DLL и так далее.





Хотя у аналитиков пока нет неопровержимых доказательств того, что Bumblebee и TrickBot созданы одним автором, они предполагают, что у разработчика Bumblebee как минимум есть доступ к исходному коду модуля TrickBot для веб-инжектов.


Исследователи резюмируют, что переход от BazaLoader к Bumblebee является еще одним свидетельством того, что за этими угрозами, скорее всего, стоят брокеры первоначального доступа, которые проникают в сети целей, а затем продают этот доступ другим преступникам. Причем эти злоумышленники «получают» малварь для своих атак из одного и того же источника.


По данным экспертов компании Proofpoint, хакеры, ранее осуществлявшие доставку малвари BazaLoader и IcedID, связанной с известными вымогательским группами Conti и Diavol, перешли на новый загрузчик под названием Bumblebee, который пока находится в разработке. Bumblebee представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики. «Судя по времени его появления и использованию сразу несколькими преступными группами, вероятно, Bumblebee является если не прямой заменой BazaLoader, то новым многофункциональным инструментом, используемым хакерами, которые обычно отдавали предпочтение другим вредоносным программам», — рассказывают специалисты. Отчет компании гласит, что использование Bumblebee началось в феврале-марте текущего года, и было связано с полезными нагрузками малвари, которая, в свою очередь, связана с вымогательскими кампаниями. В частности, в марте эксперты Google рассказывали о хакерской группировке Exotic Lily, которая является брокером доступов и сотрудничает с такими известными вымогателями как Conti и Diavol. Уже тогда специалисты заметили Bumblebee, который стал применяться вместо привычного для злоумышленников BazarLoader. Proofpoint пишет, что наблюдала несколько почтовых спам-кампаний, распространяющих Bumblebee под видом образов ISO (которые содержали ярлыки и DLL-файлы), документов DocuSign и файлов HTML. Исследователи говорят, что Bumblebee — это «новый, очень сложный загрузчик вредоносного ПО», который объединяет в себе сложные методы уклонения об обнаружения, приемы антианализа и сложные методы антивиртуализации. Также аналитики Proofpoint и Cybereason заметили сходство Bumblebee с малварью TrickBot, в частности, были обнаружены сходства в методах доставки и сбрасываемых пейлоадах. Также отмечалось, что оба вредоноса используют один и тот же механизм установки хуков, технику уклонения от RapportGP.DLL и так далее. Хотя у аналитиков пока нет неопровержимых доказательств того, что Bumblebee и TrickBot созданы одним автором, они предполагают, что у разработчика Bumblebee как минимум есть доступ к исходному коду модуля TrickBot для веб-инжектов. Исследователи резюмируют, что переход от BazaLoader к Bumblebee является еще одним свидетельством того, что за этими угрозами, скорее всего, стоят брокеры первоначального доступа, которые проникают в сети целей, а затем продают этот доступ другим преступникам. Причем эти злоумышленники «получают» малварь для своих атак из одного и того же источника.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через: