Το πρόγραμμα φόρτωσης κακόβουλου λογισμικού «Bumblebee» διέκοψε τις δίμηνες διακοπές του με μια νέα καμπάνια που χρησιμοποιεί νέες τεχνικές διανομής που καταχρώνται τις υπηρεσίες 4shared WebDAV.
Το WebDAV (Web Distributed Authoring and Versioning) είναι μια επέκταση του πρωτοκόλλου HTTP που επιτρέπει στους πελάτες να εκτελούν λειτουργίες απομακρυσμένης σύνταξης, όπως δημιουργία, πρόσβαση, ενημέρωση και διαγραφή περιεχομένου διακομιστή ιστού.
Οι ερευνητές του Intel471 αναφέρουν ότι η τελευταία καμπάνια του Bumblebee, η οποία ξεκίνησε στις 7 Σεπτεμβρίου 2023, κάνει κατάχρηση των υπηρεσιών 4shared WebDAV για τη διανομή του φορτωτή, την προσαρμογή της αλυσίδας επίθεσης και την εκτέλεση πολλών ενεργειών μετά τη μόλυνση.
Η κατάχρηση της πλατφόρμας 4shared, ενός νόμιμου και γνωστού παρόχου υπηρεσιών φιλοξενίας αρχείων, βοηθά τους χειριστές της Bumblebee να αποφύγουν τις μπλοκ λίστες και να απολαύσουν υψηλή διαθεσιμότητα υποδομής.
Ταυτόχρονα, το πρωτόκολλο WebDAV τους δίνει πολλούς τρόπους παράκαμψης συστημάτων ανίχνευσης συμπεριφοράς και το πρόσθετο πλεονέκτημα της βελτιωμένης διανομής, της εύκολης εναλλαγής ωφέλιμου φορτίου κ.λπ.
Ανεπιθύμητα email
Η τρέχουσα καμπάνια Bumblebee βασίζεται σε κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που προσποιούνται ότι είναι σαρώσεις, τιμολόγια και ειδοποιήσεις για να παρασύρουν τους παραλήπτες στη λήψη κακόβουλων συνημμένων.
Τα περισσότερα συνημμένα είναι αρχεία συντομεύσεων LNK των Windows, αλλά υπάρχουν επίσης ορισμένα αρχεία ZIP που περιέχουν αρχεία LNK, πιθανότατα ένα σημάδι ότι οι χειριστές του Bumblebee πειραματίζονται για να προσδιορίσουν τι λειτουργεί καλύτερα.
(Intel471)
Ανοίγοντας το αρχείο LNK εκκινεί μια σειρά εντολών στο μηχάνημα του θύματος, ξεκινώντας με μία για την προσάρτηση ενός φακέλου WebDAV σε μια μονάδα δίσκου δικτύου χρησιμοποιώντας σκληρά κωδικοποιημένα διαπιστευτήρια για έναν λογαριασμό 4shared αποθήκευσης.
Το 4Shared είναι ένας ιστότοπος κοινής χρήσης αρχείων που επιτρέπει στους χρήστες να αποθηκεύουν αρχεία στο cloud και να έχουν πρόσβαση σε αυτά μέσω WebDAV, FTP και SFTP. Η υπηρεσία ήταν προηγουμένως καταχωρημένη στην κυβέρνηση των ΗΠΑ Έκθεση Notorious Markets 2016 για τη φιλοξενία περιεχομένου που προστατεύεται από πνευματικά δικαιώματα.
Εδω επισης, Εντοπίστηκε Intel471 διάφορες παραλλαγές του συνόλου εντολών, από την προσάρτηση των αντιγράφων του αρχείου, την εξαγωγή και την εκτέλεση των αρχείων από την προσαρτημένη μονάδα δίσκου, κάτι που αποτελεί άλλη μια ένδειξη δοκιμής για βελτιστοποίηση.
Intel471 αναφέρει ότι βλέπει τους παράγοντες της απειλής πειραματίζονται με διαφορετικές μεθόδους για την προσάρτηση αντιγράφων αρχείων, την εξαγωγή και την εκτέλεση αρχείων από την προσαρτημένη μονάδα δίσκου, υποδεικνύοντας ότι προσπαθούν να βελτιστοποιήσουν την αλυσίδα επίθεσης.
Νέος Bumblebee
Οι αναλυτές εντόπισαν επίσης μια ενημερωμένη έκδοση του φορτωτή κακόβουλου λογισμικού Bumblebee που χρησιμοποιείται σε αυτήν την καμπάνια, η οποία έχει αλλάξει από τη χρήση του πρωτοκόλλου WebSocket σε TCP για επικοινωνίες διακομιστή εντολών και ελέγχου (C2).
Επιπλέον, ο νέος φορτωτής έχει εγκαταλείψει τη χρήση σκληρών διευθύνσεων C2. Τώρα χρησιμοποιεί έναν αλγόριθμο δημιουργίας τομέα (DGA) για τη δημιουργία 100 τομέων στον χώρο τομέα ανώτατου επιπέδου “.life” (TLD) κατά την εκτέλεση.
Οι τομείς δημιουργούνται χρησιμοποιώντας μια στατική αρχική τιμή 64-bit και το Bumblebee συνδέεται με αυτούς επαναλαμβάνοντας τη λίστα που δημιουργήθηκε μέχρι να βρει έναν που επιλύεται σε μια ενεργή διεύθυνση IP διακομιστή C2.
Το Bumblebee είχε συσχετιστεί στο παρελθόν με τη διανομή ωφέλιμου φορτίου ransomware, συμπεριλαμβανομένων των Conti και Akira, επομένως η υιοθέτηση ενός πιο αποτελεσματικού και αόριστου καναλιού διανομής είναι μια ανησυχητική εξέλιξη.
Επίσης, η υιοθέτηση του DGA καθιστά δυσκολότερη τη χαρτογράφηση της υποδομής του Bumblebee, τον αποκλεισμό των τομέων του και τη σημαντική διαταραχή των λειτουργιών του, προσθέτοντας πρόσθετη πολυπλοκότητα στην εφαρμογή προληπτικών μέτρων κατά του φορτωτή κακόβουλου λογισμικού.
