พบกลุ่มแรนซัมแวร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Bumblebee
Bumblebee เป็นตัวติดตั้งมัลแวร์ที่มีการค้นพบเมื่อเดือนเมษายน 2022 ถูกพัฒนาขึ้นโดยทีม Conti เพื่อแทนที่ BazarLoader backdoor ใช้สำหรับการเข้าถึงเครือข่ายและดำเนินการติดตั้งแรนซัมแวร์ โดยกำหนดเป้าหมายระดับองค์กร มีการแพร่กระจายผ่าน Google Ads และการโปรโมทซอฟต์แวร์ยอดนิยม เช่น Zoom, Cisco AnyConnect, ChatGPT และ Citrix Workspace ที่ถูกทำให้ติดอันดับการค้นหา
Google Ads เป็นแพลตฟอร์มช่วยโปรโมทโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา
ในเดือนกันยายน 2022 มีการค้นพบตัวติดตั้งมัลแวร์เวอร์ชันใหม่ โดยใช้วิธีการโจมตีเฟรมเวิร์ก PowerSploit สำหรับแทรก DLL เข้าไปในหน่วยความจำเพื่อหลบหลีกการถูกตรวจพบโดยผลิตภัณฑ์ป้องกันไวรัส
นักวิจัยจาก Secureworks ได้ค้นพบ Google Ads ที่มีการโปรโมทหน้าดาวน์โหลดโปรแกรม Cisco AnyConnect Secure Mobility Client ปลอมที่ถูกสร้างขึ้นในวันพฤหัสบดีที่ 16 กุมภาพันธ์ 2023 ด้วยโฮสต์ที่อยู่บนโดเมน "appcisco[.]com" โดย SecureWorks กล่าวว่า “ห่วงโซ่ของการติดเชื้อเริ่มต้นด้วย Google Ads ที่เป็นอันตรายส่งผู้ใช้ไปยังหน้าดาวน์โหลดปลอมนี้ผ่านเว็บไซต์ WordPress ที่ถูกบุกรุก"
หน้าเว็บไซต์ปลอมที่มีการโปรโมทมัลแวร์โทรจันไฟล์ MSI ที่มีชื่อว่า "cisco-anyconnect-4_9_0195.msi" ถูกใช้เพื่อติดตั้งมัลแวร์ BumbleBee โดยเมื่อดำเนินการจะมีการสร้างสำเนาของตัวติดตั้งโปรแกรมของจริงและปลอม (cisco2.ps1) และสคริปต์ Powershell จะถูกคัดลอกลงบนเครื่องผู้ใช้งาน
CiscoSetup.exe เป็นตัวติดตั้งที่ถูกต้องของโปรแกรม AnyConnect จะถูกติดตั้งลงบนอุปกรณ์เพื่อหลีกเลี่ยงการถูกสงสัย อย่างไรก็ตามสคริปต์ PowerScrip จะทำการติดตั้งมัลแวร์ BumbleBee และดำเนินกิจกรรมที่เป็นอันตรายบนอุปกรณ์ที่ถูกบุกรุก SecureWorks กล่าวว่า "สคริปต์ PowerShell ประกอบด้วยฟังก์ชันที่เปลี่ยนชื่อซึ่งคัดลอกมาจากสคริปต์ PowerSploit ReflectivePEInjection.ps1" นอกจากนี้ยังพบซอฟต์แวร์อื่น ๆ ที่มีคู่ไฟล์ที่มีชื่อเหมือนกัน เช่น ZoomInstaller.exe, zoom.ps1, ChatGPT.msi, chch.ps1, CitrixWorkspaceApp.exe และ citrix.ps1
Secureworks ได้ตรวจสอบหนึ่งในการโจมตีของ Bumblebee ล่าสุดอย่างใกล้ชิด พบว่าผู้โจมตีได้ใช้ประโยชน์จากการที่เข้าถึงระบบที่ถูกบุกรุก เพื่อเข้าถึงเครือข่ายหลังจากการติดเชื้อครั้งแรกโดยใช้ระยะเวลาประมาณ 3 ชั่วโมง โดยเครื่องมือที่ผู้โจมตีนำมาใช้ในการละเมิดได้แก่ Cobalt Strike pen-test suite, AnyDesk, DameWare, Network scanning utilities, AD database dumper และ Kerberos credentials stealer
ที่มา : www.bleepingcomputer.com
You must be logged in to post a comment.