Дайджест Jet CSIRT [07.06.2022]

07.06.2022

Группировка вымогателей Black Basta стала партнером вредоносного ПО QBot

Black Basta — это относительно новая вредоносная кампания с программами-вымогателями, которая началась со взлома нескольких компаний за относительно короткое время. Аналитики NCC Group в отчете описали используемые тактики и техники, а также проанализировали программный код вымогателя.  Одной из особенностей данной кампании является то, что QBot обычно используется для первоначального доступа, в то время как Black Basta использует его для распространения по сети. После запуска Qakbot заражает общие сетевые ресурсы и диски, взламывает учетные записи AD и использует SMB для создания своих копий или распространения через общие ресурсы.


Комплексный загрузчик Bumblebee доставляет модули Cobalt-Strike

Исследователи пришли к выводу, что Bumblebee является преемником вредоносного ПО BazarLoader, которое использовалось группировкой Conti Ransomware. Заражение начинается через электронное письмо, содержащее ссылку для дальнейшей загрузки файла ISO, который в конечном итоге загружает вредоносную dll-библиотеку. Далее dll-файл загружает полезную нагрузку на машину жертвы. Bumblebee действует как загрузчик и позволяет использовать инструменты с открытым исходным кодом, такие как Cobalt Strike, Shellcode, Sliver и Meterpreter, а также загружает другие типы вредоносных программ, такие как программы-вымогатели и трояны.


Google опубликовала июньский бюллетень безопасности для Android

Материал содержит подробную информацию об уязвимостях безопасности, затрагивающих устройства Android. В свежем обновлении исправлена 41 уязвимость, 4 из которых: CVE-2022-20130, CVE-2022-20127, CVE-2022-20140 и CVE-2022-20145 являются критическими. Их успешная эксплуатация может привести к удаленному выполнению кода без дополнительных привилегий.