Ο φορτωτής κακόβουλου λογισμικού Bumblebee εντοπίστηκε σε νέες επιθέσεις πρόσφατα, περισσότερους από τέσσερις μήνες αφότου η Europol τον διέκοψε κατά τη διάρκεια του «Operation Endgame» τον Μάιο.
Πιστεύεται ότι είναι δημιουργία των προγραμματιστών του TrickBot, το κακόβουλο λογισμικό εμφανίστηκε το 2022 ως αντικατάσταση της κερκόπορτας του BazarLoader για να παρέχει στους φορείς απειλών ransomware πρόσβαση στα δίκτυα των θυμάτων.
Το Bumblebee συνήθως επιτυγχάνει μόλυνση μέσω phishing, κακόβουλης διαφήμισης και δηλητηρίασης SEO που προωθούσε διάφορα λογισμικά (π.χ. Zooom, Cisco AnyConnect, ChatGPT και Citrix Workspace).
Μεταξύ των ωφέλιμων φορτίων που παραδίδονται συνήθως από την Bumblebee είναι φάροι Cobalt Strike, κακόβουλο λογισμικό κλοπής πληροφοριών και διάφορα στελέχη ransomware.
Τον Μάιο, μια διεθνής επιχείρηση επιβολής του νόμου με την κωδική ονομασία «Operation Endgame» κατέσχεσε πάνω από εκατό διακομιστές που υποστηρίζουν τις πολλαπλές λειτουργίες φόρτωσης κακόβουλου λογισμικού, συμπεριλαμβανομένων των IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader και SystemBC.
Από τότε, ο Bumblebee σώπασε. Ωστόσο, ερευνητές στην εταιρεία κυβερνοασφάλειας Netskope παρατήρησαν νέα δραστηριότητα Bumblebee συνδέεται με το κακόβουλο λογισμικό, το οποίο θα μπορούσε να υποδηλώνει αναζωπύρωση.
Τελευταία αλυσίδα επίθεσης Bumblebee
Η πιο πρόσφατη αλυσίδα επίθεσης Bumblebee ξεκινά με ένα email ηλεκτρονικού ψαρέματος που παρασύρει το θύμα να κατεβάσει ένα κακόβουλο αρχείο ZIP.
Το συμπιεσμένο αρχείο περιέχει μια συντόμευση .LNK με το όνομα Έκθεση-41952.lnkτο οποίο ενεργοποιεί το PowerShell να κατεβάσει ένα κακόβουλο αρχείο .MSI (y.msi) που είναι μεταμφιεσμένο ως νόμιμη ενημέρωση προγράμματος οδήγησης NVIDIA ή πρόγραμμα εγκατάστασης Midjourney από έναν απομακρυσμένο διακομιστή.
Πηγή: Netskope
Στη συνέχεια, το αρχείο MSI εκτελείται σιωπηλά χρησιμοποιώντας το msiexec.exe με το /qn επιλογή, η οποία διασφαλίζει ότι η διαδικασία εκτελείται χωρίς καμία αλληλεπίδραση με τον χρήστη.
Για να αποφευχθεί η δημιουργία νέων διεργασιών, κάτι που είναι πιο θορυβώδες, το κακόβουλο λογισμικό χρησιμοποιεί τον πίνακα SelfReg εντός της δομής MSI, ο οποίος δίνει εντολή στο msiexec.exe να φορτώσει το DLL στον δικό του χώρο διευθύνσεων και να καλέσει τη λειτουργία DllRegisterServer.
Μόλις φορτωθεί και εκτελεστεί το DLL, ξεκινά η διαδικασία αποσυσκευασίας του κακόβουλου λογισμικού, που οδηγεί στην ανάπτυξη του Bumblebee στη μνήμη.
Πηγή: Netskope
Η Netskope σχολιάζει ότι το ωφέλιμο φορτίο Bumblebee φέρει την υπογραφή του εσωτερικού DLL και το σχήμα ονοματοδοσίας εξαγόμενων συναρτήσεων, καθώς και μηχανισμούς εξαγωγής διαμόρφωσης που έχουν δει σε προηγούμενες παραλλαγές.
Το κλειδί RC4 που αποκρυπτογραφεί τη διαμόρφωσή του στις πιο πρόσφατες επιθέσεις χρησιμοποιεί τη συμβολοσειρά “NEW_BLACK”, ενώ υπάρχουν δύο αναγνωριστικά καμπάνιας, δηλαδή “msi” και “lnk001”.
Πηγή: Netskope
Η Netskope δεν παρείχε καμία πληροφορία σχετικά με τα ωφέλιμα φορτία που έριξε η Bumblebee ή την κλίμακα της καμπάνιας, αλλά η αναφορά χρησιμεύει ως προειδοποίηση για πρώιμα σημάδια πιθανής αναζωπύρωσης.
Οι πλήρεις λίστες των δεικτών συμβιβασμού είναι διαθέσιμες στο αυτό το αποθετήριο GitHub.
VIA: bleepingcomputer.com
