Το Bumblebee είναι ένα γνωστό κακόβουλο λογισμικό που αναπτύχθηκε από την ομάδα Conti για να αντικαταστήσει το BazarLoader και να αποκτήσει πρόσβαση σε εταιρικά δίκτυα πριν πραγματοποιήσει μια επίθεση ransomware. Οι ερευνητές της Secureworks ανακάλυψαν ότι το λογισμικό, που διαφημίζεται μέσω διαφημίσεων της Google, είναι κρυμμένο σε installers του δημοφιλούς λογισμικού.
Η συνεχιζόμενη εκστρατεία που εντοπίστηκε από τους ερευνητές της Secureworks εκμεταλλεύεται την πλατφόρμα Google Ads. Σε ορισμένες σελίδες παραβιασμένων ιστότοπων WordPress, εμφανίζονται διαφημίσεις για γνωστό λογισμικό. Το ανυποψίαστο θύμα κάνει κλικ στο banner και καταλήγει στον ψεύτικο ιστότοπο που φιλοξενεί το πρόγραμμα εγκατάστασης. Μία από αυτές είναι αυτή του AnyConnect Secure Mobility Client v4.x, του εργαλείου απομακρυσμένης πρόσβασης της Cisco.
Το πρόγραμμα εγκατάστασης MSI περιέχει το νόμιμο εκτελέσιμο αρχείο CiscoSetup.exe και το script PowerShell cisco2.ps1. Όταν εκτελείται, αντιγράφει τα δύο αρχεία στον κατάλογο TEMP των Windows. Το εκτελέσιμο αρχείο εγκαθιστά την επίσημη έκδοση του AnyConnect Secure Mobility Client, ενώ η δέσμη ενεργειών εγκαθιστά τον installer Bumblebee, ο οποίος στη συνέχεια φορτώνεται.
Σε άλλες περιπτώσεις, χρησιμοποιούνται οι ψεύτικοι installers των Zoom, Citrix Workspace και ChatGPT (που στην πραγματικότητα δεν υπάρχει). Εντόπισαν επίσης side loading στο δίκτυο, περίπου τρεις ώρες μετά την αρχική μόλυνση, για να διανείμουν το Cobalt Strike, καθώς και εργαλεία για απομακρυσμένη πρόσβαση, σάρωση δικτύου, dumpers βάσεων δεδομένων Active Directory και κλέφτες διαπιστευτηρίων Kerberos.
Η Secureworks εντόπισε πολυάριθμες διευθύνσεις που σχετίζονται με διακομιστές C2C (command and control) που χρησιμοποιούνται για τη λήψη παραμέτρων διαμόρφωσης κακόβουλου λογισμικού και τη μεταφόρτωση κλεμμένων δεδομένων. Η συμβουλή είναι να εγκαθιστάτε πάντα μια λύση ασφαλείας που ανιχνεύει αυτές τις απειλές.
