Aποτελέσματα του Bing διαδίδουν το Bumblebee malware
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Aποτελέσματα του Bing διαδίδουν το Bumblebee malware
https://www.secnews.gr/655579/kakovouloi-epitithemenoi-molynoun-apotelesmata-bing/
Aug 6th 2025, 12:43
by Management Account
Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν ανακαλύψει μια προηγμένη εκστρατεία SEO poisoning μηχανών αναζήτησης, που εκμεταλλεύτηκε τα αποτελέσματα αναζήτησης του Bing για να διανείμει το Bumblebee malware, οδηγώντας τελικά σε καταστροφικές επιθέσεις ransomware Akira.
Δείτε επίσης: Microsoft Edge: Πώς να αντικαταστήσετε το Bing με άλλη μηχανή αναζήτησης;
Η εκστρατεία, που ήταν ενεργή καθ' όλη τη διάρκεια του Ιουλίου 2025, στοχεύει συγκεκριμένα χρήστες που αναζητούν νόμιμο λογισμικό διαχείρισης IT, αποδεικνύοντας πώς οι απειλητικοί παράγοντες συνεχίζουν να οπλοποιούν αξιόπιστες πλατφόρμες αναζήτησης για να παραβιάσουν τα δίκτυα επιχειρήσεων.
Η επίθεση ξεκίνησε όταν ανυποψίαστοι χρήστες αναζήτησαν το "ManageEngine OpManager" στη μηχανή αναζήτησης Bing της Microsoft και ανακατευθύνθηκαν στον κακόβουλο τομέα opmanager[.]pro αντί για την ιστοσελίδα του νόμιμου προμηθευτή λογισμικού.
Αυτή η προσεκτικά κατασκευασμένη ιστοσελίδα μιμήθηκε έναν trojanized MSI installer file (κακόβουλο αρχείο εγκατάστασης MSI) ονόματι ManageEngine-OpManager.msi, το οποίο φαινόταν πανομοιότυπο με το αυθεντικό πακέτο λογισμικού αλλά περιείχε ενσωματωμένα κακόβουλα στοιχεία σχεδιασμένα να δημιουργούν αρχική πρόσβαση στα δίκτυα των θυμάτων.
Κατά την εκτέλεση του κακόβουλου εγκαταστάτη, το λογισμικό φαινόταν να λειτουργεί κανονικά, εγκαθιστώντας την νόμιμη εφαρμογή ManageEngine OpManager για να αποφευχθεί η υποψία. Ωστόσο, κατά τη διάρκεια της διαδικασίας εγκατάστασης, το κακόβουλο λογισμικό ταυτόχρονα ανέπτυξε μια κακόβουλη dynamic link library (DLL) ονόματι msimg32.dll μέσω της διαδικασίας consent.exe των Windows.
Οι αναλυτές της DFIR Report εντόπισαν αυτή την προηγμένη τεχνική ως μέθοδο για να παρακάμψουν τους ελέγχους ασφαλείας διατηρώντας την εμφάνιση νόμιμης εγκατάστασης λογισμικού.
Δείτε ακόμα: Το Microsoft Bing εμφανίζει παραπλανητική σελίδα που μοιάζει με το Google
Περίπου πέντε ώρες μετά την αρχική εκτέλεση, το κακόβουλο λογισμικό ανέπτυξε ένα beacon AdaptixC2 που αναγνωρίστηκε ως AdgNsy.exe, το οποίο δημιούργησε ένα επιπλέον κανάλι επικοινωνίας προς το 172.96.137[.]160:443, παρέχοντας στους απειλητικούς παράγοντες μόνιμη πρόσβαση στο παραβιασμένο περιβάλλον.
Aποτελέσματα του Bing διαδίδουν το Bumblebee malware
Η επιτυχία της επίθεσης προήλθε σε μεγάλο βαθμό από την στόχευση εργαλείων διαχείρισης IT, διασφαλίζοντας ότι οι χρήστες που εκτελούσαν το κακόβουλο λογισμικό διέθεταν πολύ προνομιακούς λογαριασμούς διαχειριστή εντός περιβαλλόντων Active Directory. Αυτή η στρατηγική προσέγγιση παρείχε στους απειλητικούς παράγοντες άμεση πρόσβαση, εξαλείφοντας την ανάγκη για περίπλοκες τεχνικές ανύψωσης προνομίων που απαιτούνται συνήθως σε στοχευμένες επιθέσεις.
Μετά την αρχική αναγνώριση χρησιμοποιώντας ενσωματωμένα εργαλεία των Windows, συμπεριλαμβανομένων των systeminfo, nltest /dclist:, whoami /groups, και net group domain admins /dom, οι επιτιθέμενοι δημιούργησαν δύο νέους λογαριασμούς τομέα ονόματι backup_DA και backup_EA. Ο λογαριασμός backup_EA προστέθηκε στρατηγικά στην ομάδα Enterprise Administrators, παρέχοντας στους επιτιθέμενους δικαιώματα διαχείρισης σε ολόκληρο τον τομέα.
Οι απειλητικοί παράγοντες στη συνέχεια συνδέθηκαν με τους ελεγκτές τομέα μέσω του Remote Desktop Protocol (RDP – πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας) και εξήγαγαν το αρχείο NTDS.dit χρησιμοποιώντας το εργαλείο Windows Backup Admin. Αυτή η τεχνική τους επέτρεψε να αποκτήσουν τα password hashes (hash κωδικών πρόσβασης) για όλους τους λογαριασμούς τομέα.
Δείτε επίσης: Η Microsoft αφαιρεί το revenge porn από την αναζήτηση του Bing
Η εκστρατεία κορυφώθηκε με την ανάπτυξη του ransomware Akira χρησιμοποιώντας το payload locker.exe, με τους επιτιθέμενους να επιτυγχάνουν κρυπτογράφηση σε μόλις 44 ώρες από την αρχική πρόσβαση. Οι κακόβουλοι παράγοντες επέδειξαν επιμονή επιστρέφοντας δύο ημέρες αργότερα για να παραβιάσουν τους υποτομείς, υπογραμμίζοντας την συστηματική και μεθοδική προσέγγιση της εκστρατείας στην καταστροφή δικτύων σε επίπεδο επιχείρησης.
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Aποτελέσματα του Bing διαδίδουν το Bumblebee malware
https://www.secnews.gr/655579/kakovouloi-epitithemenoi-molynoun-apotelesmata-bing/
Aug 6th 2025, 12:43
by Management Account
Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν ανακαλύψει μια προηγμένη εκστρατεία SEO poisoning μηχανών αναζήτησης, που εκμεταλλεύτηκε τα αποτελέσματα αναζήτησης του Bing για να διανείμει το Bumblebee malware, οδηγώντας τελικά σε καταστροφικές επιθέσεις ransomware Akira.
Δείτε επίσης: Microsoft Edge: Πώς να αντικαταστήσετε το Bing με άλλη μηχανή αναζήτησης;
Η εκστρατεία, που ήταν ενεργή καθ' όλη τη διάρκεια του Ιουλίου 2025, στοχεύει συγκεκριμένα χρήστες που αναζητούν νόμιμο λογισμικό διαχείρισης IT, αποδεικνύοντας πώς οι απειλητικοί παράγοντες συνεχίζουν να οπλοποιούν αξιόπιστες πλατφόρμες αναζήτησης για να παραβιάσουν τα δίκτυα επιχειρήσεων.
Η επίθεση ξεκίνησε όταν ανυποψίαστοι χρήστες αναζήτησαν το "ManageEngine OpManager" στη μηχανή αναζήτησης Bing της Microsoft και ανακατευθύνθηκαν στον κακόβουλο τομέα opmanager[.]pro αντί για την ιστοσελίδα του νόμιμου προμηθευτή λογισμικού.
Αυτή η προσεκτικά κατασκευασμένη ιστοσελίδα μιμήθηκε έναν trojanized MSI installer file (κακόβουλο αρχείο εγκατάστασης MSI) ονόματι ManageEngine-OpManager.msi, το οποίο φαινόταν πανομοιότυπο με το αυθεντικό πακέτο λογισμικού αλλά περιείχε ενσωματωμένα κακόβουλα στοιχεία σχεδιασμένα να δημιουργούν αρχική πρόσβαση στα δίκτυα των θυμάτων.
Κατά την εκτέλεση του κακόβουλου εγκαταστάτη, το λογισμικό φαινόταν να λειτουργεί κανονικά, εγκαθιστώντας την νόμιμη εφαρμογή ManageEngine OpManager για να αποφευχθεί η υποψία. Ωστόσο, κατά τη διάρκεια της διαδικασίας εγκατάστασης, το κακόβουλο λογισμικό ταυτόχρονα ανέπτυξε μια κακόβουλη dynamic link library (DLL) ονόματι msimg32.dll μέσω της διαδικασίας consent.exe των Windows.
Οι αναλυτές της DFIR Report εντόπισαν αυτή την προηγμένη τεχνική ως μέθοδο για να παρακάμψουν τους ελέγχους ασφαλείας διατηρώντας την εμφάνιση νόμιμης εγκατάστασης λογισμικού.
Δείτε ακόμα: Το Microsoft Bing εμφανίζει παραπλανητική σελίδα που μοιάζει με το Google
Περίπου πέντε ώρες μετά την αρχική εκτέλεση, το κακόβουλο λογισμικό ανέπτυξε ένα beacon AdaptixC2 που αναγνωρίστηκε ως AdgNsy.exe, το οποίο δημιούργησε ένα επιπλέον κανάλι επικοινωνίας προς το 172.96.137[.]160:443, παρέχοντας στους απειλητικούς παράγοντες μόνιμη πρόσβαση στο παραβιασμένο περιβάλλον.
Aποτελέσματα του Bing διαδίδουν το Bumblebee malware
Η επιτυχία της επίθεσης προήλθε σε μεγάλο βαθμό από την στόχευση εργαλείων διαχείρισης IT, διασφαλίζοντας ότι οι χρήστες που εκτελούσαν το κακόβουλο λογισμικό διέθεταν πολύ προνομιακούς λογαριασμούς διαχειριστή εντός περιβαλλόντων Active Directory. Αυτή η στρατηγική προσέγγιση παρείχε στους απειλητικούς παράγοντες άμεση πρόσβαση, εξαλείφοντας την ανάγκη για περίπλοκες τεχνικές ανύψωσης προνομίων που απαιτούνται συνήθως σε στοχευμένες επιθέσεις.
Μετά την αρχική αναγνώριση χρησιμοποιώντας ενσωματωμένα εργαλεία των Windows, συμπεριλαμβανομένων των systeminfo, nltest /dclist:, whoami /groups, και net group domain admins /dom, οι επιτιθέμενοι δημιούργησαν δύο νέους λογαριασμούς τομέα ονόματι backup_DA και backup_EA. Ο λογαριασμός backup_EA προστέθηκε στρατηγικά στην ομάδα Enterprise Administrators, παρέχοντας στους επιτιθέμενους δικαιώματα διαχείρισης σε ολόκληρο τον τομέα.
Οι απειλητικοί παράγοντες στη συνέχεια συνδέθηκαν με τους ελεγκτές τομέα μέσω του Remote Desktop Protocol (RDP – πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας) και εξήγαγαν το αρχείο NTDS.dit χρησιμοποιώντας το εργαλείο Windows Backup Admin. Αυτή η τεχνική τους επέτρεψε να αποκτήσουν τα password hashes (hash κωδικών πρόσβασης) για όλους τους λογαριασμούς τομέα.
Δείτε επίσης: Η Microsoft αφαιρεί το revenge porn από την αναζήτηση του Bing
Η εκστρατεία κορυφώθηκε με την ανάπτυξη του ransomware Akira χρησιμοποιώντας το payload locker.exe, με τους επιτιθέμενους να επιτυγχάνουν κρυπτογράφηση σε μόλις 44 ώρες από την αρχική πρόσβαση. Οι κακόβουλοι παράγοντες επέδειξαν επιμονή επιστρέφοντας δύο ημέρες αργότερα για να παραβιάσουν τους υποτομείς, υπογραμμίζοντας την συστηματική και μεθοδική προσέγγιση της εκστρατείας στην καταστροφή δικτύων σε επίπεδο επιχείρησης.
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672