01/29/2023

ตัวโหลดมัลแวร์ Bumblebee กำลังเป็นที่นิยมในการเจาะเซอร์วิส Active Directory

ตัวโหลดมัลแวร์ที่รู้จักกันในชื่อ Bumblebee กำลังเป็นที่นิยมในหมู่แฮ็กเกอร์ที่เกี่ยวข้องกับโทรจัน BazarLoader, TrickBot, และ IcedID เพื่อใช้เจาะเข้าเครือข่ายของเหยื่อสำหรับเล่นงานในรูปแบบต่างๆ ในขั้นตอนต่อๆ ไป

โดยนักวิจัยจาก Cybereason คุณ Meroujan Antonyan และ Alon Laufer ได้ระบุในรายงานว่า “แฮ็กเกอร์ใช้ Bumblebee ในการสแกนข้อมูลเหยื่ออย่างละเอียด พร้อมทั้งรีไดเรกต์ข้อมูลที่ได้ไปยังไฟล์อื่นเพื่อดูดข้อมูลออกไปใช้อีกทีหนึ่ง”

พบความเคลื่อนไหว Bumblebee ครั้งแรกเมื่อมีนาคมที่ผ่านมา เมื่อทาง Threat Analysis Group (TAG) ของทางกูเกิ้ลตรวจเจอการเจาะระบบด่านแรก (Initial Access) ของตัว Exotic Lily ที่เกี่ยวข้องกับทั้ง Trickbot และ Conti โดยใช้แคมเปญหลอกลวงแบบ Spear-phishing เป็นหลัก

อย่างการส่งไฟล์เอกสารที่ฝังมาโครที่น่าจะเป็นสาเหตุสำคัญในการทำให้ไมโครซอฟท์ตัดสินใจบล็อกมาโครโดยดีฟอลต์ในเวลาต่อมา การส่งเมลฟิชชิ่งที่มีไฟล์แนบหรือลิงค์ดาวน์โหลด Bumblebee นี้ มีทั้งการล่อให้แตกไฟล์โดยตรง, ให้เมาท์ไฟล์อิมเมจ ISO, หรือให้คลิกไฟล์ลิงค์ชอร์ทคัท (LNK) ที่นำไปสู่การรันตัว Bumblebee อีกทอดหนึ่ง

อ่านเพิ่มเติมที่นี่ – THN