Вредоносное ПО Bumblebee получило обновление и новый способ атаки

Bumblebee PowerSploit Reflective DLL Injection DLL lnk PowerShell
Новая техника заражения делает Шмеля незаметным и универсальным инструментом хакеров.

Согласно
отчету Cyble , основанному на
открытии исследователя угроз
Макса Малютина, новая версия вредоносного загрузчика Bumblebee теперь обладает новой цепочкой заражения, использующей инфраструктуру PowerSploit для скрытого внедрения полезной нагрузки DLL - (с англ. Dynamic Link Library, динамически подключаемая библиотека) это библиотека, содержащая код и данные, которые могут использоваться несколькими программами одновременно.
"
data-html="true" data-original-title="DLL"
>DLL в память (Reflective DLL Injection).
В рамках атаки хакеры отправляют по электронной почте защищенные паролем заархивированные VHD-файлы (Virtual Hard Disk), которые содержат LNK-файл для выполнения полезной нагрузки.

Файлы, используемые в кампании
Вместо прямого запуска Bumblebee (DLL) LNK запускает окно PowerShell и скрывает его от пользователя с помощью команды «ShowWindow».
Первый этап заражения использует Base64 и конкатенацию строк, чтобы избежать обнаружения антивирусным ПО при загрузке второго этапа загрузчика PowerShell.
Второй этап имеет ту же обфускацию, что и первый, и содержит модуль PowerSploit для загрузки Bumblebee в память процесса PowerShell с помощью техники Reflective DLL Injection.
PowerSploit
— это open-source инструмент постэксплуатации, в котором вредоносное ПО использует метод « Invoke-ReflectivePEInjection » для рефлективной загрузки DLL в процесс PowerShell. Этот метод проверяет встроенный файл и выполняет несколько проверок, чтобы убедиться, что файл правильно загружен в исполняющую систему.
Новый способ загрузки позволяет Bumblebee загружаться из памяти и никогда не взаимодействовать с диском хоста, что сводит к минимуму шансы обнаружения.
Повышая свою скрытность, Bumblebee становится более мощной угрозой для начального доступа и увеличивает свои шансы привлечь операторов программ-вымогателей и других вредоносных программ, которые ищут способы развертывания своей полезной нагрузки.

SECURITYLAB.RU