Загрузчик Bumblebee начал использовать PowerSploit для большей скрытности

Татьяна Никитина 09 Сентября 2022 - 16:39

Домашние пользователи

...

В Cyble изучили новую версию вредоносного Windows-загрузчика Bumblebee, которая уже раздается в спаме. Как оказалось, вирусописатели усилили его защиту от антивирусов: изменили цепочку заражения и реализовали бесфайловый способ загрузки с помощью модуля PowerSploit — opensource-фреймворка постэксплуатации, популярного у специалистов по пентесту.

Зловред Bumblebee (не путать с одноименным бэкдором, о котором недавно рассказала Trend Micro) появился в поле зрения ИБ-экспертов в минувшем апреле. Его создателями предположительно являются разработчики TrickBot, в феврале присоединившиеся к преступному синдикату Conti.

Сменивший BazarLoader вредонос пока используется в основном для загрузки таких инструментов атаки, как Cobalt Strike, Sliver, Meterpreter, шелл-код, и распространяется через спам-рассылки. Ранее с этой целью авторы атак использовали заархивированные ISO-вложения с файлом LNK (для запуска полезной нагрузки) и 64-битной библиотекой DLL (пейлоад, исполняемый с помощью rundll32.exe).

Теперь, согласно Cyble, эта схема изменилась: вместо фейковых ISO-образов злоумышленники рассылают VHD, вредоносный архив при этом содержит Quote.lnk и исполняемый им скрытый файл imagedata.ps1 с обфусцированными скриптами.

Последний при запуске открывает окно PowerShell и прячет его от жертвы, используя команду –windowStyle (по умолчанию) или ShowWindow. Работая в фоновом режиме, зловред загружает PowerShell-лоадер второй ступени; для его исполнения используется командлет Invoke-Expression.

Этот скрипт содержит большой фрагмент кода — модуль PowerSploit, который извлекает финальную полезную нагрузку (встроенный LdrAddx64.dll), проверяет ее и загружает в память powershell.exe по методу отраженной инъекции. Поведение вредоноса в системе, по словам экспертов, осталось неизменным.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Октября 2025 - 09:18

Windows Сбои программ Домашние пользователи Корпорации Защита от сбоев Microsoft

В Windows 11 тестируют функцию диагностики памяти после BSOD

Microsoft начала тестировать новую функцию Windows 11, которая предлагает пользователям запустить проверку памяти после «синего экрана смерти» (BSOD). Теперь, если система внезапно перезагрузится из-за критической ошибки ядра или драйвера, при следующем входе в систему появится уведомление с предложением провести сканирование.

По словам руководителя программы Windows Insider Аманды Ланговски, проверка занимает не более пяти минут:

«Если ваш компьютер неожиданно перезапустился, вы увидите уведомление с предложением выполнить быструю проверку памяти. В случае согласия система запланирует запуск Windows Memory Diagnostic при следующей перезагрузке. Если будут обнаружены ошибки, вы получите уведомление после входа в систему».

На данный момент функция работает только на x86-устройствах — она недоступна на ARM64, а также на системах с Administrator Protection или включённым BitLocker без Secure Boot.

В данный момент на этапе тестирования любая ошибка «синего экрана» вызывает уведомление о проверке памяти, но Microsoft планирует сузить список и оставить только те сбои, которые действительно связаны с повреждением памяти.

Новая возможность уже доступна участникам программы Windows Insider в каналах Dev и Beta, установившим сборки 26220.6982 и 26120.6982 (KB5067109).