数字营销新闻资讯

Google & Facebook 大咖实战经验分享,带你玩转外贸营销

Google广告推送BumbleBee恶意软件,勒索软件团伙受益

以企业为目标的Bumblebee恶意软件通过谷歌推广(Google Ads和SEO)投毒传播,它们推广了诸如Zoom、Cisco AnyConnect、ChatGPT和Citrix Workspace等流行软件。Bumblebee是一种恶意软件加载器,发现于2022年4月,被认为是Conti团队开发的,用于替代BazarLoader后门,后门被用于获取网络的初始访问权限并进行勒索软件攻击。

2022年9月,研究人员在野外观察到了该恶意软件加载器的一个新版本,该版本具有更隐蔽的攻击链,利用PowerSploit框架将反射式DLL注入到内存中。Secureworks的研究人员最近发现了一个利用Google广告推广木马化流行应用程序的新活动,将恶意软件加载器传播给毫无戒心的受害者。隐藏在流行应用程序中 SecureWorks观察到的其中一个活动是一个Google广告,它推广了一个虚假的Cisco AnyConnect Secure Mobility Client下载页面,该页面创建于2023年2月16日,并托管在“appcisco[.]com”域上。

“一个始于恶意Google广告的感染链将用户通过一个被攻击的WordPress站点引导至这个伪造的下载页面。”SecureWorks的报告解释道。伪造的Cisco软件下载门户 伪造的Cisco软件下载门户 (Secureworks) 这个伪造的登陆页面宣传了一个名为“cisco-anyconnect-4_9_0195.msi”的木马化MSI安装程序,该安装程序安装了BumbleBee恶意软件。在执行过程中,合法程序安装器的副本和一个名为(cisco2.ps1)的欺骗性PowerShell脚本被复制到用户的计算机上。由恶意MSI释放的文件 由恶意MSI释放的文件(Secureworks) CiscoSetup.exe是AnyConnect的合法安装程序,将应用程序安装到设备上以避免引起怀疑。然而,PowerScrip脚本安装了BumbleBee恶意软件,并在受损设备上进行恶意活动。

Secureworks解释道:“PowerShell脚本包含一系列从PowerSploit ReflectivePEInjection.ps1脚本中复制并重命名的函数。”“它还包含一个编码的Bumblebee恶意软件有效载荷,将其反射式加载到内存中。”这意味着Bumblebee仍然使用相同的后渗透框架模块将恶意软件加载到内存中,而不会引起现有杀毒产品的警报。Secureworks发现其他软件包也有类似命名的文件对,如ZoomInstaller.exe和zoom.ps1,ChatGPT.msi和chch.ps1以及CitrixWorkspaceApp.exe和citrix.ps1。

勒索软件之路
考虑到木马化软件针对的是企业用户,受感染的设备可能成为勒索软件攻击的开始。Secureworks详细研究了最近的一次Bumblebee攻击。他们发现,威胁行为者在最初感染后约三个小时,利用对受损系统的访问在网络中进行横向移动。攻击者在被攻破的环境中部署的工具包括Cobalt Strike渗透测试套件、AnyDesk和DameWare远程访问工具、网络扫描实用程序、AD数据库转储器和Kerberos凭据窃取器。这一武器库构建了一种攻击特征,使得恶意软件操作者很有可能对识别可访问的网络节点、转向其他机器、窃取数据和最终部署勒索软件感兴趣。