瞄準全球各大企業 惡意軟體BumbleBee藏身Google廣告

編譯/鄭智懷

美國資安公司Secureworks旗下反威脅單位研究小組(Counter Threat Unit research team)在近期揭露,勒索軟體集團Conti透過免費下載為名義的Google廣告傳播惡意軟體BumbleBee,企圖感染各大企業員工所用的資訊設備,進而展開後續的勒索行動。

示意圖:123RF

BumbleBee為惡意軟體下載程式,旨在讓開發者入侵被害者設備後獲得初期存取(Initial access)權限,進而展開勒索軟體攻擊。

反威脅單位研究小組以Cisco AnyConnect為例,指出攻擊者在2023年2月16日設立一個偽造的軟體下載網頁,並將其託管在appcisco.com之上。假使用戶在網路上搜尋Cisco AnyConnect免費下載的資料,並登入上述偽造網頁,就可以下載內含BumbleBee,名為「cisco-anyconnect-4_9_0195.msi」的安裝程式。

攻擊者為了瞞過粗心的受害者,還會將偽造的安裝檔案取名為CiscoSetup.exe—與合法的官方安裝檔名相同。

研究小組表示,除了Cisco AnyConnect以外,攻擊者還以Zoom、ChatGPT 和 Citrix Workspace等流行軟體免費下載的名義,透過Google廣告傳播BumbleBee。

團隊還提到,最新的案例顯示BumbleBee成功感染受害者設備後的三個小時後,攻擊者就會開始執行橫向移動,陸續植入滲透測試軟體Cobalt Strike、遠端控制軟體AnyDesk 和 DameWare、竊密程式Kerberos等,擴大感染範圍,有利於後續的加密活動。

Secureworks建議,各組織應該只從已知且可信任的網站—譬如各大軟體開發商的官方網站—下載軟體安裝程式與更新檔;禁止使用者在電腦上自行安裝軟體,以及擁有執行腳本的權限。該公司還建議使用如AppLocker等資安工具,防止使用者安裝並執行惡意軟體。

資料來源:Secureworks

瀏覽 629 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button