Загрузчик Bumblebee возвращается с новой техникой заражения

Bumblebee - это замена ВПО BazarLoader, которое загружает на компьютер жертвы различную полезную нагрузку - шеллы, шифровальщики, программы-вымогатели, трояны. Первоначальное заражение начинается со спам-письма с защищенным паролем вложением, содержащим файл с расширением .VHD (виртуальный жесткий диск). Контейнер VHD содержит два файла - "Quote.lnk" и скрытый файл “imagedata.ps1”. Файл ярлыка LNK содержит параметры для выполнения скрипта “imagedata.ps1”, который загружает полезную нагрузку Bumblebee в память PowerShell. Ранее вместо VHD файла использовалась DLL библиотека.


Nemesis Kitten используют BitLocker для шифрования

Команда ИБ-специалистов Microsoft в своем отчете о группировке Nemesis Kitten (DEV-0270) рассказала, что хакеры используют встроенный в Windows механизм шифрования дисков BitLocker для своих атак. Во многих из наблюдаемых случаев злоумышленники получили доступ, используя известные уязвимости в Exchange или Fortinet. Для Exchange наиболее распространенным эксплойтом был ProxyLogon — это подчеркивает необходимость исправления уязвимостей высокой степени опасности на устройствах, подключенных к Интернету, поскольку группа продолжала успешно использовать эти уязвимости даже после выпуска обновления с исправлениями.


В репозитории PyPI опять найдены вредоносные пакеты

Python Package Index (PyPI) - наиболее часто используемый Python-разработчиками репозиторий. Поскольку никакой проверки перед публикацией не проводится, в репозиторий часто попадают пакеты, содержащие вредоносный код. Примером может служить недавняя атака на цепочку поставок, где вредоносные пакеты использовались для кражи ключей AWS и переменных окружения. Специалисты Check Point Research обнаружили и проанализировали очередную десятку вредоносных пакетов в PyPI. В основном злоумышленники используют приемы тайпсквоттинга, чтобы заставить пользователей установить свой пакет из-за опечатки. Однако, пакеты из отчета Check Point Research не используют тайпсквоттинг и нацелены на разработчиков, которые ищут конкретные инструменты для своих проектов.