Новости Google предлагает скачать приложение Cisco с вредоносным ПО Bumblebee внутри

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Злоумышленники используют рекламу Google для взлома корпоративных устройств.


ua1w1pus0neykx1h3va0gef6iwg7ut4n.jpg


Специалисты ИБ-компании SecureWorks Для просмотра ссылки Войди или Зарегистрируйся , в ходе которой вредоносное ПО Bumblebee распространяется через поддельную рекламу троянизированных версий ПО ChatGPT, Zoom, Citrix Workspace и Cisco AnyConnect.

Одна из обнаруженных кампаний началась с рекламы Google , которая продвигала поддельную страницу загрузки Cisco AnyConnect Secure Mobility Client. Реклама перенаправляла жертв на эту страницу через скомпрометированный сайт WordPress.


otbz7hemhbb4cmn1csun1nstklfvl6wt.png


Поддельная страница загрузки Cisco AnyConnect

Вместо легитимного ПО Cisco на этой странице жертва загружает заражённый MSI-установщик BumbleBee.


ytu5djry9yauuu0nyinx90dlit4utu9r.png



Файлы, доставляемые вредоносным MSI-установщиком

  • CiscoSetup.exe — это легитимный установщик AnyConnect, устанавливающий приложение на компьютер, чтобы избежать подозрений;
  • Сценарий PowerShell устанавливает BumbleBee в память устройства, тем самым избегая обнаружения антивирусными программами.

Учитывая, что троянизированное ПО нацелено на корпоративных пользователей, зараженные устройства становятся целями атак программ-вымогателей. Secureworks внимательно изучила одну из недавних атак Bumblebee. Эксперты обнаружили, что злоумышленник использовал свой доступ к скомпрометированной системе для бокового перемещения (Lateral Movement) по сети через 3 часа после первоначального заражения.

Инструменты, которые хакеры развернули во взломанной среде, включают Cobalt Strike, инструменты удаленного доступа AnyDesk и DameWare, утилиты сетевого сканирования, дампер базы данных Active Directory и похититель учетных данных Kerberos.

Такой арсенал создает профиль атаки, который позволяет киберпреступникам определять доступные точки сети, переходить на другие машины, похищать данные и, в конечном итоге, развертывать программы-вымогатели.
 
Источник новости
www.securitylab.ru

Похожие темы