Ερευνητές της Proofpoint ανέφεραν ότι το Bumblebee malware επανεμφανίστηκε μετά από απουσία μερικών μηνών από το τοπίο των απειλών.
Η πιο πρόσφατη εκστρατεία εντοπίστηκε τον Φεβρουάριο του 2024 και ο τρόπος επίθεσης ήταν διαφορετικός σε σχέση με τις προηγούμενες.
Το Bumblebee malware είχε χρησιμοποιηθεί από πολλούς κυβερνοεγκληματίες από τον Μάρτιο του 2022 έως τον Οκτώβριο του 2023. Συνολικά, η Proofpoint εντόπισε 230 καμπάνιες Bumblebee κατά τη διάρκεια αυτών των μηνών.
Το malware χρησιμοποιείται κυρίως για αρχική πρόσβαση, για λήψη και εκτέλεση πρόσθετων payloads, όπως Cobalt Strike, shellcode, Sliver και Meterpreter.
Δείτε επίσης: Η μέθοδος malware Hunter-Killer συνεχίζει να αναπτύσσεται
Οι εγκληματίες έχουν χρησιμοποιήσει διάφορες μεθόδους για τη διανομή του Bumblebee. Για παράδειγμα, τον Απρίλιο του 2023 δημιουργήθηκαν κακόβουλες εκδόσεις για δημοφιλή εργαλεία λογισμικού όπως το Zoom, το Cisco AnyConnect, το ChatGPT και το Citrix Workspace με σκοπό τη μόλυνση των θυμάτων.
Bumblebee malware: Νέα καμπάνια
Η Proofpoint είπε ότι το Bumblebee “εξαφανίστηκε” τον Οκτώβριο του 2023. Η νέα καμπάνια διανομής του εντοπίστηκε το Φεβρουάριο του 2024.
Οι επιτιθέμενοι χρησιμοποίησαν τεχνικές social engineering για να εξαπατήσουν τους στόχους και να τους κάνουν να κατεβάσουν το Bumblebee malware. Στην εκστρατεία, πολλές χιλιάδες email στάλθηκαν από τη διεύθυνση info@quarlesaa[.]com σε οργανισμούς στις ΗΠΑ. Τα emails είχαν ως θέμα το “Voicemail February“. Τα κακόβουλα emails περιείχαν διευθύνσεις URL του OneDrive, που οδηγούσαν σε ένα αρχείο Word με ονόματα όπως “ReleaseEvans#96.docm“.
Αυτό το έγγραφο του Word χρησιμοποιούσε την επωνυμία της εταιρείας ηλεκτρονικών ειδών Humane.
Τα έγγραφα χρησιμοποίησαν μακροεντολές για να δημιουργήσουν ένα script στο Windows temporary directory, με το εγκατεστημένο αρχείο να εκτελείται χρησιμοποιώντας το “wscript“.
Μέσα στο προσωρινό αρχείο υπήρχε μια εντολή PowerShell, η οποία κατέβασε και εκτελούσε το επόμενο στάδιο της επίθεσης, από έναν απομακρυσμένο διακομιστή.
Δείτε επίσης: Το Raspberry Robin malware εξελίσσεται με one-day exploits
Αυτό το επόμενο στάδιο ήταν μια άλλη εντολή PowerShell που ήταν αποθηκευμένη στο αρχείο “update_ver” και κατέβασε και έτρεξε το Bumblebee DLL.
Οι ερευνητές παρατήρησαν ότι η νέα καμπάνια Bumblebee είχε κάποια ξεχωριστά χαρακτηριστικά σε σχέση με προηγούμενες επιθέσεις. Για παράδειγμα, παρατηρήθηκε η χρήση εγγράφων με δυνατότητα μακροεντολής VBA στην αλυσίδα επίθεσης.
Οι προηγούμενες malware καμπάνιες Bumblebee χρησιμοποιούσαν συνδυασμούς διευθύνσεων URL και συνημμένων και εκμεταλλεύονταν ευπάθειες.
Η Proofpoint δεν μπόρεσε να αποδώσει τη νέα καμπάνια σε έναν συγκεκριμένο παράγοντα απειλής. Ωστόσο, οι ερευνητές σημείωσαν ότι ορισμένες από τις τεχνικές που χρησιμοποιήθηκαν, ευθυγραμμίζονται με προηγούμενες δραστηριότητες της ομάδας TA579.
Η Proofpoint παρατήρησε ότι αρκετές ομάδες είχαν κάνει ένα διάλειμμα προς το τέλος του περασμένου έτους αλλά τώρα έχουν επανέλθει.
“Το 2024 ξεκίνησε με μια έκρηξη για τους φορείς απειλών στον κυβερνοχώρο, με τη δραστηριότητα να επιστρέφει σε πολύ υψηλά επίπεδα μετά από μια προσωρινή χειμερινή ηρεμία. Οι ερευνητές της Proofpoint συνεχίζουν να παρατηρούν νέες, δημιουργικές αλυσίδες επιθέσεων, προσπάθειες παράκαμψης ανιχνεύσεων και ενημερωμένο κακόβουλο λογισμικό από πολλούς παράγοντες απειλών“, έγραψαν οι ερευνητές.
Δείτε επίσης: XLoader Android malware: Νέα έκδοση εκτελείται αυτόματα στη συσκευή
Προστασία
Τα παραπάνω δείχνουν ότι είναι απαραίτητη μια σειρά από μέτρα για την προστασία από το Bumblebee malware. Πρώτον, είναι σημαντικό να γίνεται ενημέρωση των λειτουργικών συστημάτων και των εφαρμογών, καθώς οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τις συσκευές από τέτοιου είδους επιθέσεις.
Δεύτερον, προτείνεται η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης. Αυτό μπορεί να βοηθήσει στην προστασία των λογαριασμών από την παραβίαση και την εκμετάλλευση από το Bumblebee malware.
Τρίτον, είναι απαραίτητη η εκπαίδευση των χρηστών σχετικά με τους κινδύνους των malware. Οι χρήστες πρέπει να γνωρίζουν τα σημάδια των ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου και να αποφεύγουν το κλικ σε ύποπτους συνδέσμους.
Τέλος, υπογραμμίζεται η ανάγκη για χρήση λύσεων ασφαλείας που παρέχουν προστασία σε πραγματικό χρόνο και έχουν τη δυνατότητα να ανιχνεύσουν και να απομακρύνουν το Bumblebee malware.
Πηγή: www.infosecurity-magazine.com