瞄準全球各大企業　惡意軟體BumbleBee藏身Google廣告

編譯／鄭智懷

美國資安公司Secureworks旗下反威脅單位研究小組（Counter Threat Unit research team）在近期揭露，勒索軟體集團Conti透過免費下載為名義的Google廣告傳播惡意軟體BumbleBee，企圖感染各大企業員工所用的資訊設備，進而展開後續的勒索行動。

BumbleBee為惡意軟體下載程式，旨在讓開發者入侵被害者設備後獲得初期存取（Initial access）權限，進而展開勒索軟體攻擊。

反威脅單位研究小組以Cisco AnyConnect為例，指出攻擊者在2023年2月16日設立一個偽造的軟體下載網頁，並將其託管在appcisco.com之上。假使用戶在網路上搜尋Cisco AnyConnect免費下載的資料，並登入上述偽造網頁，就可以下載內含BumbleBee，名為「cisco-anyconnect-4_9_0195.msi」的安裝程式。

攻擊者為了瞞過粗心的受害者，還會將偽造的安裝檔案取名為CiscoSetup.exe—與合法的官方安裝檔名相同。

研究小組表示，除了Cisco AnyConnect以外，攻擊者還以Zoom、ChatGPT 和 Citrix Workspace等流行軟體免費下載的名義，透過Google廣告傳播BumbleBee。

該團隊還提到，最新的案例顯示BumbleBee成功感染受害者設備後的三個小時後，攻擊者就會開始執行橫向移動，陸續植入滲透測試軟體Cobalt Strike、遠端控制軟體AnyDesk 和 DameWare、竊密程式Kerberos等，擴大感染範圍，有利於後續的加密活動。

Secureworks建議，各組織應該只從已知且可信任的網站—譬如各大軟體開發商的官方網站—下載軟體安裝程式與更新檔；禁止使用者在電腦上自行安裝軟體，以及擁有執行腳本的權限。該公司還建議使用如AppLocker等資安工具，防止使用者安裝並執行惡意軟體。

資料來源：Secureworks

瀏覽 630 次