✔На смену BazarLoader пришел вредонос Bumblebee - «Новости»

03 мая 2022 386 Отступы и поля / Новости / Текст / Преимущества стилей / Заработок / Изображения / Видео уроки 0

Bumblebee представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики.

«Судя по времени его появления и использованию сразу несколькими преступными группами, вероятно, Bumblebee является если не прямой заменой BazaLoader, то новым многофункциональным инструментом, используемым хакерами, которые обычно отдавали предпочтение другим вредоносным программам», — рассказывают специалисты.

Отчет компании гласит, что использование Bumblebee началось в феврале-марте текущего года, и было связано с полезными нагрузками малвари, которая, в свою очередь, связана с вымогательскими кампаниями. В частности, в марте эксперты Google рассказывали о хакерской группировке Exotic Lily, которая является брокером доступов и сотрудничает с такими известными вымогателями как Conti и Diavol. Уже тогда специалисты заметили Bumblebee, который стал применяться вместо привычного для злоумышленников BazarLoader.

Proofpoint пишет, что наблюдала несколько почтовых спам-кампаний, распространяющих Bumblebee под видом образов ISO (которые содержали ярлыки и DLL-файлы), документов DocuSign и файлов HTML.

Исследователи говорят, что Bumblebee — это «новый, очень сложный загрузчик вредоносного ПО», который объединяет в себе сложные методы уклонения об обнаружения, приемы антианализа и сложные методы антивиртуализации.

Также аналитики Proofpoint и Cybereason заметили сходство Bumblebee с малварью TrickBot, в частности, были обнаружены сходства в методах доставки и сбрасываемых пейлоадах. Также отмечалось, что оба вредоноса используют один и тот же механизм установки хуков, технику уклонения от RapportGP.DLL и так далее.

Хотя у аналитиков пока нет неопровержимых доказательств того, что Bumblebee и TrickBot созданы одним автором, они предполагают, что у разработчика Bumblebee как минимум есть доступ к исходному коду модуля TrickBot для веб-инжектов.

Исследователи резюмируют, что переход от BazaLoader к Bumblebee является еще одним свидетельством того, что за этими угрозами, скорее всего, стоят брокеры первоначального доступа, которые проникают в сети целей, а затем продают этот доступ другим преступникам. Причем эти злоумышленники «получают» малварь для своих атак из одного и того же источника.

По данным экспертов компании Proofpoint, хакеры, ранее осуществлявшие доставку малвари BazaLoader и IcedID, связанной с известными вымогательским группами Conti и Diavol, перешли на новый загрузчик под названием Bumblebee, который пока находится в разработке. Bumblebee представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики. «Судя по времени его появления и использованию сразу несколькими преступными группами, вероятно, Bumblebee является если не прямой заменой BazaLoader, то новым многофункциональным инструментом, используемым хакерами, которые обычно отдавали предпочтение другим вредоносным программам», — рассказывают специалисты. Отчет компании гласит, что использование Bumblebee началось в феврале-марте текущего года, и было связано с полезными нагрузками малвари, которая, в свою очередь, связана с вымогательскими кампаниями. В частности, в марте эксперты Google рассказывали о хакерской группировке Exotic Lily, которая является брокером доступов и сотрудничает с такими известными вымогателями как Conti и Diavol. Уже тогда специалисты заметили Bumblebee, который стал применяться вместо привычного для злоумышленников BazarLoader. Proofpoint пишет, что наблюдала несколько почтовых спам-кампаний, распространяющих Bumblebee под видом образов ISO (которые содержали ярлыки и DLL-файлы), документов DocuSign и файлов HTML. Исследователи говорят, что Bumblebee — это «новый, очень сложный загрузчик вредоносного ПО», который объединяет в себе сложные методы уклонения об обнаружения, приемы антианализа и сложные методы антивиртуализации. Также аналитики Proofpoint и Cybereason заметили сходство Bumblebee с малварью TrickBot, в частности, были обнаружены сходства в методах доставки и сбрасываемых пейлоадах. Также отмечалось, что оба вредоноса используют один и тот же механизм установки хуков, технику уклонения от RapportGP.DLL и так далее. Хотя у аналитиков пока нет неопровержимых доказательств того, что Bumblebee и TrickBot созданы одним автором, они предполагают, что у разработчика Bumblebee как минимум есть доступ к исходному коду модуля TrickBot для веб-инжектов. Исследователи резюмируют, что переход от BazaLoader к Bumblebee является еще одним свидетельством того, что за этими угрозами, скорее всего, стоят брокеры первоначального доступа, которые проникают в сети целей, а затем продают этот доступ другим преступникам. Причем эти злоумышленники «получают» малварь для своих атак из одного и того же источника.

запостил(а)

Peterson

Вернуться назад

Смотрите также

Утекшие исходники шифровальщика Conti используются для атак на российские компании - «Новости»

Количество малвари, написанной на Go, увеличилось на 2000% за несколько лет - «Новости»

Малварь BazarCall использует для распространения подпольные колл-центры - «Новости»

Специалисты обнаружили новый троян удаленного доступа для Android - «Новости»

А что там на главной? )))

Комментарии )))

Комментарии для сайта Cackle

« Апрель 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30