Malver Bumblebee ponovo se pojavio nakon četiri mjeseca odsustva iz okruženja sajber prijetnji, prema istraživanju Proofpoint.
Nova kampanja, uočena u februaru 2024. godine, koristila je “značajno drugačiji” lanac napada u odnosu na prethodne infiltracije Bumblebee-a.
Povratak Bumblebee-ja poklapa se s ponovnim pojavljivanjem nekoliko ozloglašenih pretnji početkom 2024. nakon privremenog “zimskog zatišja”, dodali su istraživači.
Bumblebee je često korišten od strane više hakera od marta 2022. do oktobra 2023. godine. Proofpoint je ukupno identifikovao 230 Bumblebee kampanje tokom ovog perioda.
Sofistikovani downloader se prvenstveno koristi kao posrednik za početni pristup, za preuzimanje i izvršavanje dodatnih korisnih opterećenja, kao što su Cobalt Strike, shellcode, Sliver i Meterpreter.
Za distribuciju Bumblebee-a korišten je niz kreativnih metoda. Na primjer, Secureworks je u aprilu 2023. izvijestio da su popularni softverski alati kao što su Zoom, Cisco AnyConnect, ChatGPT i Citrix Workspace trojanizovani kako bi zarazili žrtve.
Kako izgleda Bumblebee kampanja?
Proofpoint je rekao da je Bumblebee “nestao” s radara u oktobru 2023. godine, prije nego što je u februaru 2024. primjećena nova kampanja osmišljena za distribuciju zlonamjernog softvera.
Napadači su koristili tehnike društvenog inžinjeringa kako bi privukli mete da preuzmu Bumblebee. U kampanji je nekoliko hiljada e-mailova poslano sa adrese “info@quarlesaa[.]com organizacijama u SAD-u sa temom “Govorna pošta februar”.
Ove e-poruke su sadržavale OneDrive URL-ove, koji su vodili do Word datoteka s nazivima kao što je “ReleaseEvans#96.docm.”
Ovaj Word dokument lažirao je kompaniju za potrošačku elektroniku Humane.
Dokumenti su koristili makroe za kreiranje skripte u privremenom direktoriju Windows-a, pri čemu je ubačena datoteka izvršena pomoću “wscript”.
Unutar ubačene privremene datoteke nalazila se PowerShell komanda, koja je preuzela i izvršila sljedeću fazu lanca napada sa udaljenog servera.
Ova sljedeća faza bila je još jedna PowerShell naredba pohranjena u datoteci “update_ver”, koja je preuzela i pokrenula Bumblebee DLL.
Istraživači su istakli niz jedinstvenih karakteristika povezanih s ovom novom Bumblebee kampanjom. Ovo je uključivalo upotrebu VBA makro-omogućenih dokumenata u lancu napada. Proofpoint je napomenuo da je većina aktera sajber kriminalnih prijetnji skoro prestala koristiti VBA dokumente.
Prethodne Bumblebee kampanje koristile su pristupe poput kombinovanja URL-ova i priloga i iskorištavanja ranjivosti.
Hakeri nastavljaju kampanje nakon zimskog raspusta
Proofpoint nije mogao pripisati novu kampanju praćenom hakeru. Međutim, istraživači su primijetili da su neke od tehnika koje se koriste, kao što je tema za privlačenje govorne pošte i korištenje OneDrive URL-ova, u skladu s prethodnim aktivnostima grupe TA579.
U blogu je navedeno da je nekoliko praćenih hakera nastavilo aktivnosti nakon odsustva krajem 2023. To uključuje TA577 koji se vratio da isporuči Qbot malver krajem januara nakon jednomjesečnog odsustva od sredine decembra.
Proofpoint je rekao da očekuje da će se ovaj “visok operativni tempo” nastaviti do predviđenih ljetnih pauza.
„2024. je počela sa praskom za aktere sajber kriminalnih prijetnji, a aktivnost se vratila na vrlo visok nivo nakon privremenog zimskog zatišja. Proofpoint istraživači nastavljaju da promatraju nove, kreativne lance napada, pokušaje zaobilaženja otkrivanja i ažurirani malver mnogih hakerai i nepripisanih klastera prijetnji”, napisali su istraživači.
Izvor: Infosecurity Magazine
