Загрузчик Bumblebee начал использовать PowerSploit для большей скрытности
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Загрузчик Bumblebee начал использовать PowerSploit для большей скрытности

Татьяна Никитина 09 Сентября 2022 - 16:39
...
Загрузчик Bumblebee начал использовать PowerSploit для большей скрытности

В Cyble изучили новую версию вредоносного Windows-загрузчика Bumblebee, которая уже раздается в спаме. Как оказалось, вирусописатели усилили его защиту от антивирусов: изменили цепочку заражения и реализовали бесфайловый способ загрузки с помощью модуля PowerSploit — opensource-фреймворка постэксплуатации, популярного у специалистов по пентесту.

Зловред Bumblebee (не путать с одноименным бэкдором, о котором недавно рассказала Trend Micro) появился в поле зрения ИБ-экспертов в минувшем апреле. Его создателями предположительно являются разработчики TrickBot, в феврале присоединившиеся к преступному синдикату Conti.

Сменивший BazarLoader вредонос пока используется в основном для загрузки таких инструментов атаки, как Cobalt Strike, Sliver, Meterpreter, шелл-код, и распространяется через спам-рассылки. Ранее с этой целью авторы атак использовали заархивированные ISO-вложения с файлом LNK (для запуска полезной нагрузки) и 64-битной библиотекой DLL (пейлоад, исполняемый с помощью rundll32.exe).

Теперь, согласно Cyble, эта схема изменилась: вместо фейковых ISO-образов злоумышленники рассылают VHD, вредоносный архив при этом содержит Quote.lnk и исполняемый им скрытый файл imagedata.ps1 с обфусцированными скриптами.

Последний при запуске открывает окно PowerShell и прячет его от жертвы, используя команду –windowStyle (по умолчанию) или ShowWindow. Работая в фоновом режиме, зловред загружает PowerShell-лоадер второй ступени; для его исполнения используется командлет Invoke-Expression.

Этот скрипт содержит большой фрагмент кода — модуль PowerSploit, который извлекает финальную полезную нагрузку (встроенный LdrAddx64.dll), проверяет ее и загружает в память powershell.exe по методу отраженной инъекции. Поведение вредоноса в системе, по словам экспертов, осталось неизменным.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Runtime Radar: на GitHub появился код инструмента для защиты контейнеров
Екатерина Быстрова 30 Октября 2025 - 11:56
Малый и средний бизнесКорпорации Сетевая безопасностьЗащита контейнерных сред (Container Security) Positive Technologies
Runtime Radar: на GitHub появился код инструмента для защиты контейнеров

Компания Positive Technologies опубликовала на GitHub собственный продукт с открытым исходным кодом для мониторинга безопасности и реагирования на инциденты в контейнерных средах. Инструмент под названием Runtime Radar помогает отслеживать активность в контейнерах и выявлять подозрительные процессы, сетевые соединения и изменения прав доступа.

Как отмечают в компании, идея проекта — сделать базовый контроль над контейнерной инфраструктурой доступным даже для небольших команд, которым не подходят сложные или дорогие коммерческие системы.

Контейнерные технологии вроде Kubernetes сегодня стали стандартом для развёртывания приложений. Но вместе с ростом их популярности увеличилось и число атак, направленных на среду выполнения — например, на этапе, когда приложение уже запущено.

По словам специалистов, именно этот уровень остаётся уязвимым: большинство инструментов безопасности по-прежнему сосредоточены на стадии разработки и сборки.

Runtime Radar построен на технологиях eBPF и Tetragon, что позволяет в реальном времени анализировать события внутри контейнеров. Система поддерживает централизованное управление несколькими кластерами и интеграцию с уже существующими средствами мониторинга через syslog, SMTP и webhook.

В Positive Technologies говорят, что открытие кода Runtime Radar — часть их инициативы по развитию open-source в области кибербезопасности. Проект уже вызвал интерес у специалистов по ИТ-мониторингу и команд SOC. В будущем разработчики планируют дополнять инструмент новыми функциями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Базис запланировал IPO на конец года
Новость
Базис запланировал IPO на конец года
Две 0-day и 81 баг: вышли сентябрьские патчи Microsoft
Новость
Две 0-day и 81 баг: вышли сентябрьские патчи Microsoft
В Windows 11 тестируют функцию диагностики памяти после BSOD
Новость
В Windows 11 тестируют функцию диагностики памяти после BSOD

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.