Вредоносное ПО Bumblebee получило обновление и новую технику атаки

Согласно отчету Cyble , основанному на открытии исследователя угроз Макса Малютина, новая версия вредоносного загрузчика Bumblebee теперь обладает новой цепочкой заражения, использующей инфраструктуру PowerSploit для скрытого внедрения полезной нагрузки DLL в память (Reflective DLL Injection).

В рамках атаки хакеры отправляют по электронной почте защищенные паролем заархивированные VHD-файлы (Virtual Hard Disk), которые содержат LNK-файл для выполнения полезной нагрузки.

Файлы, используемые в кампании

Вместо прямого запуска Bumblebee (DLL) LNK запускает окно PowerShell и скрывает его от пользователя с помощью команды «ShowWindow».

Первый этап заражения использует Base64 и конкатенацию строк, чтобы избежать обнаружения антивирусным ПО при загрузке второго этапа загрузчика PowerShell.

Второй этап имеет ту же обфускацию, что и первый, и содержит модуль PowerSploit для загрузки Bumblebee в память процесса PowerShell с помощью техники Reflective DLL Injection.

PowerSploit — это open-source инструмент постэксплуатации, в котором вредоносное ПО использует метод « Invoke-ReflectivePEInjection » для рефлективной загрузки DLL в процесс PowerShell. Этот метод проверяет встроенный файл и выполняет несколько проверок, чтобы убедиться, что файл правильно загружен в исполняющую систему.

Новый способ загрузки позволяет Bumblebee загружаться из памяти и никогда не взаимодействовать с диском хоста, что сводит к минимуму шансы обнаружения.

Повышая свою скрытность, Bumblebee становится более мощной угрозой для начального доступа и увеличивает свои шансы привлечь операторов программ-вымогателей и других вредоносных программ, которые ищут способы развертывания своей полезной нагрузки.