Злоумышленники используют рекламу Google для взлома корпоративных устройств.
Специалисты ИБ-компании SecureWorks обнаружили новую кампанию , в ходе которой вредоносное ПО Bumblebee распространяется через поддельную рекламу троянизированных версий ПО ChatGPT, Zoom, Citrix Workspace и Cisco AnyConnect.
Одна из обнаруженных кампаний началась с рекламы Google, которая продвигала поддельную страницу загрузки Cisco AnyConnect Secure Mobility Client. Реклама перенаправляла жертв на эту страницу через скомпрометированный сайт WordPress.
https://www.securitylab.ru/upload/me...stklfvl6wt.png
Поддельная страница загрузки Cisco AnyConnect
Вместо легитимного ПО Cisco на этой странице жертва загружает заражённый MSI-установщик BumbleBee.
https://www.securitylab.ru/upload/me...dlit4utu9r.png
Файлы, доставляемые вредоносным MSI-установщиком
<ul><li>CiscoSetup.exe — это легитимный установщик AnyConnect, устанавливающий приложение на компьютер, чтобы избежать подозрений;</li>
</ul><ul><li>Сценарий PowerShell устанавливает BumbleBee в память устройства, тем самым избегая обнаружения антивирусными программами.</li>
</ul>Учитывая, что троянизированное ПО нацелено на корпоративных пользователей, зараженные устройства становятся целями атак программ-вымогателей. Secureworks внимательно изучила одну из недавних атак Bumblebee. Эксперты обнаружили, что злоумышленник использовал свой доступ к скомпрометированной системе для бокового перемещения (Lateral Movement) по сети через 3 часа после первоначального заражения.
Инструменты, которые хакеры развернули во взломанной среде, включают Cobalt Strike, инструменты удаленного доступа AnyDesk и DameWare, утилиты сетевого сканирования, дампер базы данных Active Directory и похититель учетных данных Kerberos.
Такой арсенал создает профиль атаки, который позволяет киберпреступникам определять доступные точки сети, переходить на другие машины, похищать данные и, в конечном итоге, развертывать программы-вымогатели.