Το κακόβουλο λογισμικό Bumblebee επέστρεψε μετά από διακοπές τεσσάρων μηνών, στοχεύοντας χιλιάδες οργανισμούς στις Ηνωμένες Πολιτείες σε εκστρατείες phishing.
Το Bumblebee είναι ένας φορτωτής κακόβουλου λογισμικού που ανακαλύφθηκε τον Απρίλιο του
2022
και πιστεύεται ότι αναπτύχθηκε από το συνδικάτο Conti και Trickbot για το έγκλημα στον κυβερνοχώρο ως αντικατάσταση του backdoor του BazarLoader.
Το κακόβουλο λογισμικό διανέμεται συνήθως σε καμπάνιες phishing για την απόρριψη πρόσθετων ωφέλιμων φορτίων σε μολυσμένες συσκευές, όπως φάροι Cobalt Strike, για αρχική πρόσβαση στο δίκτυο και
για τη διεξαγωγή επιθέσεων ransomware
.
Σε μια νέα
καμπάνια
κακόβουλου λογισμικού
παρατηρήθηκε από την Proofpoint
η επιστροφή του Bumblebee από τον Οκτώβριο είναι σημαντική καθώς θα μπορούσε να οδηγήσει σε ευρύτερη αύξηση των δραστηριοτήτων εγκλήματος στον κυβερνοχώρο καθώς πλησιάζουμε προς το 2024.
Διάδοση μέσω πλαστών φωνητικών μηνυμάτων
Η νέα καμπάνια phishing που ωθεί το Bumblebee προσποιείται ότι είναι ειδοποιήσεις τηλεφωνητή που χρησιμοποιούν το θέμα “Τηλεφωνητής Φεβρουαρίου” και στάλθηκαν σε χιλιάδες οργανισμούς στις ΗΠΑ από τη διεύθυνση “info@quarlessa[.]com.”
Email ηλεκτρονικού ψαρέματος που διαδίδει Bumblebee
Πηγή: Proofpoint
Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν μια διεύθυνση URL του OneDrive που κατεβάζει ένα έγγραφο του Word με το όνομα “ReleaseEvans#96.docm” ή κάτι παρόμοιο, με ένα δέλεαρ που προσποιείται ότι είναι από την εταιρεία ηλεκτρονικών ειδών ευρείας κατανάλωσης hu.ma.ne, γνωστή για την καρφίτσα που λειτουργεί με AI.
Το πλαστό έγγραφο που περιέχει τη μακροεντολή VBA
Πηγή: Proofpoint
Το κακόβουλο έγγραφο χρησιμοποιεί μακροεντολές για τη δημιουργία ενός αρχείου σεναρίου στον προσωρινό φάκελο των Windows και, στη συνέχεια, εκτελεί το αρχείο που απορρίφθηκε χρησιμοποιώντας το “wscript”.
Αυτό το προσωρινό αρχείο περιέχει μια εντολή PowerShell που ανακτά και εκτελεί το επόμενο στάδιο από έναν απομακρυσμένο διακομιστή, ο οποίος τελικά κατεβάζει και εκκινεί το Bumblebee DLL (w_ver.dll) στο σύστημα του θύματος.
Σχόλια απόδειξης ότι η χρήση μακροεντολών VBA σε έγγραφα είναι αξιοσημείωτη και ασυνήθιστη μετά την απόφαση της Microsoft να αποκλείσει τις μακροεντολές από προεπιλογή το 2022, γεγονός που καθιστά δυσκολότερη την επιτυχία της καμπάνιας.
Προηγούμενες καμπάνιες Bumblebee χρησιμοποιούσαν μεθόδους όπως άμεσες λήψεις DLL, λαθρ
εμπ
όριο HTML και εκμετάλλευση τρωτών σημείων όπως το CVE-2023-38831 για την παράδοση του τελικού ωφέλιμου φορτίου, επομένως η τρέχουσα αλυσίδα επιθέσεων αντιπροσωπεύει μια σημαντική απόκλιση από τις πιο σύγχρονες τεχνικές.
Πιθανές εξηγήσεις για αυτό περιλαμβάνουν τη φοροδιαφυγή, καθώς τα κακόβουλα VBA είναι πλέον λιγότερο κοινά ή η εξειδικευμένη/στενή στόχευση στοχεύει σε πολύ απαρχαιωμένα συστήματα.
Επιπλέον
, η Bumblebee ενδέχεται να δοκιμάζει και να διαφοροποιεί τις μεθόδους διανομής της.
Η Proofpoint λέει ότι η Bumblebee έχει πειραματιστεί με έγγραφα με μακροεντολές σε προηγούμενες καμπάνιες, αν και αυτές οι περιπτώσεις αντιστοιχούν σε μόλις 4,3% του συνόλου που καταγράφηκε (230 καμπάνιες).
Πριν από το διάλειμμα του Bumblebee, η τελευταία αξιοσημείωτη εξέλιξη στο κακόβουλο λογισμικό ήταν τον Σεπτέμβριο του 2023, όταν το κακόβουλο λογισμικό χρησιμοποίησε μια νέα τεχνική διανομής που βασιζόταν στην κατάχρηση των υπηρεσιών 4shared WebDAV για την αποφυγή μπλοκ λιστών.
Το ηλεκτρονικό έγκλημα
επιστρέφει
στη δουλειά
Το Bumblebee συνήθως νοικιάζεται σε εγκληματίες του κυβερνοχώρου που θέλουν να παρακάμψουν το αρχικό στάδιο πρόσβασης και να εισαγάγουν τα ωφέλιμα φορτία τους σε συστήματα που έχουν ήδη παραβιαστεί.
Η Proofpoint λέει ότι δεν υπάρχουν αρκετά στοιχεία που να αποδίδουν την πρόσφατη εκστρατεία σε κάποια συγκεκριμένη ομάδα απειλών. Ωστόσο, οι ερευνητές λένε ότι η εκστρατεία φέρει τα χαρακτηριστικά των παραγόντων απειλής που παρακολουθούν ως TA579.
Σύμφωνα με το Proofpoint, άλλοι παράγοντες απειλών που έχουν δείξει πρόσφατα αναζωπύρωση στις δραστηριότητές τους είναι οι TA576, TA866, TA582 και TA2541.
Η διακοπή του QBot (Qakbot) από τις αρχές επιβολής του νόμου έχει δημιουργήσει ένα κενό στην αγορά διανομής ωφέλιμου φορτίου, το οποίο προσπαθούν να καλύψουν άλλα κακόβουλα προγράμματα.
Οι αξιοσημείωτες περιπτώσεις περιλαμβάνουν το DarkGate και το Pikabot, δύο εξαιρετικά ικανά προγράμματα φόρτωσης κακόβουλου λογισμικού που οδηγούν πλέον τις μολύνσεις μέσω πολλών καναλιών, συμπεριλαμβανομένων των phishing, κακόβουλης διαφήμισης και μηνυμάτων στο Skype και στο Microsoft Teams.
Zscaler
δημοσίευσε έκθεση
στο Pikabot χθες, σημειώνοντας ότι το κακόβουλο λογισμικό επανεμφανίστηκε με μια νέα, απλοποιημένη έκδοση αυτόν τον μήνα, μετά από μια μικρή παύση μετά τα περσινά Χριστούγεννα.
Η νέα έκδοση Pikabot έχει αφαιρέσει τις προηγμένες τεχνικές συσκότισης κώδικα που χρησιμοποιήθηκαν στο παρελθόν και χρησιμοποιεί ένα λιγότερο ευέλικτο σύστημα διαμόρφωσης, επομένως μοιάζει με μια πρώιμη κυκλοφορία μιας ανανεωμένης παραλλαγής.
VIA:
bleepingcomputer.com
