Bumblebee снова в игре: вредоносное ПО мимикрирует под драйверы NVIDIA

Netskope сообщает о первых признаках возрождения известного загрузчика.


5q2gg1oom0if02re2wjyy1grs7x0olkn.jpg


Вредоносный загрузчик Bumblebee снова стал фигурировать в дикой природе спустя более четырёх месяцев после того, как его активность была остановлена в результате международной операции Европола под названием «Endgame» в мае этого года.

Bumblebee, по мнению экспертов, создан разработчиками TrickBot и впервые появился в 2022 году в качестве замены BazarLoader. Этот загрузчик предоставляет группам вымогателей доступ к сетям жертв.

Основными методами распространения Bumblebee являются фишинг, вредоносная реклама и SEO-поисковый спам. Он продвигал такие приложения, как Zoom, Cisco AnyConnect, ChatGPT и Citrix Workspace. Среди типичных вредоносных нагрузок, которые распространяет Bumblebee, — маяки Cobalt Strike , программы для кражи данных и различные версии программ-вымогателей.

В мае в рамках операции «Endgame» правоохранители изъяли более ста серверов, поддерживающих деятельность нескольких вредоносных загрузчиков, включая IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader и SystemBC. С тех пор Bumblebee практически не проявлял активности. Однако исследователи из компании Netskope недавно зафиксировали новую волну атак с участием Bumblebee, что может свидетельствовать о его возвращении.

Цепочка атаки начинается с фишингового письма, предлагающего скачать архив в формате ZIP. Внутри архива содержится файл-ярлык (.LNK) под названием «Report-41952.lnk», который через PowerShell загружает вредоносный MSI-файл, замаскированный под установщик драйвера NVIDIA или программы Midjourney.

Файл MSI выполняется с помощью утилиты «msiexec.exe» в тихом режиме (опция /qn), что исключает взаимодействие с пользователем. Для маскировки своих действий вредонос использует таблицу SelfReg, загружая DLL прямо в пространство «msiexec.exe» и активируя её функции.

При развёртывании Bumblebee загружает свой полезный код в память и запускает процесс распаковки. Исследователи отметили, что в новом варианте вредоносного ПО используется строка «NEW_BLACK» для расшифровки конфигурации и два идентификатора кампаний: «msi» и «lnk001».

Хотя Netskope не предоставила данных о масштабах кампании и типах загруженных полезных нагрузок, исследование подчёркивает ранние признаки возможного возрождения Bumblebee. Полный список индикаторов компрометации доступен на GitHub.

Возвращение Bumblebee напоминает, что даже после успешных операций против киберугроз нельзя терять бдительность — новая зловредная активность всегда может возникнуть из тени, меняя облик, но не намерения.