Вредонос пропал с радаров 4 месяца назад, а теперь предстал перед исследователями в еще более изощренном виде.
Вредоносная программа Bumblebee вернулась после четырехмесячного перерыва и атаковала тысячи организаций в США с помощью масштабных фишинговых кампаний.
Bumblebee — это загрузчик, обнаруженный в апреле 2022 года. Предположительно, он был разработан преступными группировками Conti и Trickbot в качестве замены бэкдора BazarLoader.
Софт обычно распространяется в фишинговых письмах для установки дополнительных вредоносных программ на зараженные устройства. Это может быть Cobalt Strike, который используется для первоначального проникновения в сеть, или обычное вымогательское ПО.
В новой кампании Bumblebee скрывается в поддельных уведомлениях о голосовых сообщениях. Пользователям рассылаются письма якобы от info@quarlessa[.]com с темой «Голосовое сообщение. Февраль».
В тексте письма находится ссылка на OneDrive, при переходе по которой загружается документ Word с именем «ReleaseEvans#96.docm» или похожим названием. Документ содержит макросы для установки Bumblebee.
Использование макросов в документах необычно, учитывая, что Microsoft заблокировала их по умолчанию в 2022 году. Возможно, злоумышленники таким образом пытаются обойти защиту.
Раньше для доставки Bumblebee использовались такие методы, как прямая загрузка DLL, внедрение в HTML и эксплуатация уязвимостей. Это еще одно отличие текущей атаки от более современных способов.
В прошлом Bumblebee уже экспериментировал с документами, содержащими макросы, но такие случаи составляли лишь 4,3% от всех зарегистрированных кампаний.
Перед четырехмесячным перерывом, в сентябре 2023, исследователи отметили новый метод распространения Bumblebee. Тогда злоумышленники начали использовать уязвимости веб-сервиса WebDAV для обхода блокировки и доставки загрузчика на компьютеры жертв.
Хотя новую кампанию пока нельзя приписать каким-либо конкретным злоумышленникам, почерк очень напоминает деятельность группировки TA579.
Эксперты предупреждают, что возвращение Bumblebee может предвещать всплеск киберпреступности в 2024 году. Наряду с ним активизировались и другие вредоносы, например Pikabot .
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black</pre>