Вредоносное ПО Bumblebee получило обновление и новую технику атаки

Согласно отчету Cyble, основанному на открытии исследователя угроз Макса Малютина, новая версия вредоносного загрузчика Bumblebee теперь обладает новой цепочкой заражения, использующей инфраструктуру PowerSploit для скрытого внедрения полезной нагрузки DLL в память (Reflective DLL Injection).

В рамках атаки хакеры отправляют по электронной почте защищенные паролем заархивированные VHD-файлы (Virtual Hard Disk), которые содержат LNK-файл для выполнения полезной нагрузки.

Файлы, используемые в кампании

Вместо прямого запуска Bumblebee (DLL) LNK запускает окно PowerShell и скрывает его от пользователя с помощью команды «ShowWindow».

Первый этап заражения использует Base64 и конкатенацию строк, чтобы избежать обнаружения антивирусным ПО при загрузке второго этапа загрузчика PowerShell.

Второй этап имеет ту же обфускацию, что и первый, и содержит модуль PowerSploit для загрузки Bumblebee в память процесса PowerShell с помощью техники Reflective DLL Injection.

PowerSploit — это open-source инструмент постэксплуатации, в котором вредоносное ПО использует метод «Invoke-ReflectivePEInjection» для рефлективной загрузки DLL в процесс PowerShell. Этот метод проверяет встроенный файл и выполняет несколько проверок, чтобы убедиться, что файл правильно загружен в исполняющую систему.

Новый способ загрузки позволяет Bumblebee загружаться из памяти и никогда не взаимодействовать с диском хоста, что сводит к минимуму шансы обнаружения.

Повышая свою скрытность, Bumblebee становится более мощной угрозой для начального доступа и увеличивает свои шансы привлечь операторов программ-вымогателей и других вредоносных программ, которые ищут способы развертывания своей полезной нагрузки.