Пейлоад загрузчика Bumblebee зависит от типа жертвы
Главная » Новости

Пейлоад загрузчика Bumblebee зависит от типа жертвы

Татьяна Никитина 04 Октября 2022 - 15:48
...
Пейлоад загрузчика Bumblebee зависит от типа жертвы

Проведенное в Check Point исследование показало, что поведение вредоносного загрузчика Bumblebee зависит от окружения. В корпоративные сети он доставляет инструменты постэкплуатации, в системы обычных пользователей — банковских троянов и инфостилеров.

Загрузчик Bumblebee (не путать с одноименным бэкдором, попавшим в поле зрения Trend Micro) объявился в интернете полгода назад. Сменивший BazarLoader зловред распространяется через спам-рассылки (как ковровые, так и узконаправленные) и активно совершенствуется.

В ходе мониторинга различных ботнетов Bumblebee эксперты Check Point обнаружили, что на поведение новобранца влияет тип сети, в которой он оказался, а географическое местоположение жертвы его не интересует. В системы, совместно использующие базу данных Active Directory, вредонос загружает Cobalt Strike, Meterpreter и Silver, а участникам автономной рабочей группы или пиринговой LAN доставляет популярных банкеров либо инфостилеров вроде Vidar.

В первом случае Bumblebee действует по команде DIJ (загружает библиотеку и внедряет ее в запущенный процесс для исполнения) или SHI (те же действия, но с шелл-кодом). Для компьютеров, подключенных к рабочей группе, предусмотрена команда DEX — на загрузку исполняемого файла с записью на диск и последующим запуском.

Аналитики также отметили изменения на C2-серверах зловреда. Ранее при множественных запросах с одного и того же публичного IP-адреса они отдавали полезную нагрузку однократно, лишь при первом обращении. В прошлом месяце ограничение было снято — эксперты предположили, что период тестирования Bumblebee закончился, и его начали активно использовать в атаках.

Способ доставки вредоносного загрузчика тоже варьируется. Изначально с этой целью использовались файлы ISO, позволяющие обойти блокировку макросов, введенную Microsoft. Недавно злоумышленники опробовали контейнер другого формата — VHD, но в итоге, со слов Check Point, вернулись к ISO-схеме.

Наблюдатели из Proofpoint различают как минимум три кибергруппы, использующие Bumblebee для доставки других вредоносов, в том числе шифровальщиков (Conti, Diavol). В Google одного из распространителей Bumblebee идентифицировали как брокера готового доступа с кодовым именем Exotic Lily.

Следующая главная новость »
AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Среднестатистический хакер — не юнец, а его дядюшка
Татьяна Никитина 05 Декабря 2025 - 15:02
Вирусы-вымогателиВирусы-шифровальщикиВзлом сайтовВзлом программ Общее
Среднестатистический хакер — не юнец, а его дядюшка

В Orange Cyberdefense обработали данные о 418 инцидентах, попавших в поле зрения правоохранительных органов в период с 2021 года по середину 2025-го, и обнаружили, что 37% идентифицированных авторов атак — мужчины 35-44 лет.

Еще 30% выявленных преступников — представители возрастной группы от 25 до 34 лет. Доля тинейджеров и 45+ в этой выборке оказалась одинаковой — по 5%.

Первая в своем роде статистика приведена в особом разделе отчета о киберугрозах Security Navigator 2026 французской ИБ-компании. Полученные результаты опровергают бытующее представление о том, что хакерство в основном прерогатива юнцов вроде Scattered Lapsus$ Hunters, часто попадающих в заголовки профильных СМИ.

Поведение возрастных групп киберкриминала тоже разнится. Молодежь (от 18 до 24 лет), движимая любопытством и жаждой славы, действует импульсивно и по ситуации, стремясь заявить о себе громкими взломами, DDoS-атаками и мелкими кражами. Осознание, что из таких «подвигов» можно извлечь материальную выгоду, приходит к ним позднее.

Гораздо больший урон обитателям всемирной паутины наносят преступники, достигшие зрелого возраста (35-44). Они действуют прицельно, обстоятельно и воспринимают свою противозаконную деятельность как способ заработка, занимаясь в основном вымогательством, разработкой зловредов, кибершпионажем и отмыванием денег.

Примечательно, что 90% выявленных авторов атак — мужчины. Национальный состав киберпреступников по выборке оказался следующим:

  • россияне — 23%;
  • американцы — 11%;
  • китайцы — 11%;
  • украинцы — 9%;
  • граждане КНДР — 5%.

Стоит отметить, что почти половина набора данных, по которому работали эксперты, — это публикации о разгромных акциях с участием США. Имя американского Минюста было упомянуто в 16% обнародованных инцидентов, ФБР — в 12%.

Правоохрана Германии засветилась в 7% зафиксированных кейсов, Европол — в 5%, британские спецслужбы — в 3%.

Новый отчет французских экспертов о ландшафте киберугроз составлен (PDF) по результатам анализа 139 тыс. ИБ-инцидентов, внесенных в банк данных Orange Threat Intelligence и базы сторонних OSINT в период с октября 2024 года по сентябрь 2025-го.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности
Апдейт Windows 11 KB5067036 добавил защиту администратора в ОС
Новость
Апдейт Windows 11 KB5067036 добавил защиту администратора в...
В России обнаружен Android-шпион ClayRat, маскирующийся под WhatsApp*
Новость
В России обнаружен Android-шпион ClayRat, маскирующийся под...
Критическая уязвимость OnePlus OxygenOS раскрывает ваши СМС и MFA-коды
Новость
Критическая уязвимость OnePlus OxygenOS раскрывает ваши СМС...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.