올해 XNUMX월에 처음 등장한 특히 악성 멀웨어 로더인 Bumblebee에 대한 새로운 분석에 따르면 엔터프라이즈 네트워크의 일부인 시스템에 대한 페이로드는 독립 실행형 시스템에 대한 페이로드와 매우 다릅니다.
도메인의 일부로 보이는 시스템(예: 동일한 Active Directory 서버를 공유할 수 있는 시스템)에서 맬웨어는 Cobalt Strike와 같은 정교한 악용 후 도구를 삭제하도록 프로그래밍됩니다. 반면 Bumblebee가 작업 그룹(또는 PXNUMXP LAN)의 일부인 시스템에 착륙했다고 판단하면 페이로드는 일반적으로 뱅킹 및 정보 도용인 경향이 있습니다.
다른 멀웨어
“피해자의 지리적 위치는 맬웨어 동작에 영향을 미치지 않는 것으로 보이지만 우리는 관찰했습니다. 아주 극명한 차이 Bumblebee가 컴퓨터를 감염시킨 후 행동하는 방식 사이에 차이가 있습니다.”라고 Check Point는 이번 주 맬웨어에 대한 최근 분석을 기반으로 한 보고서에서 말했습니다.
체크포인트는 “피해자가 WORKGROUP에 연결되면 대부분의 경우 DEX 명령(다운로드 및 실행)을 수신하여 디스크에서 파일을 삭제하고 실행하게 한다”고 말했다. 그러나 시스템이 AD 도메인에 연결된 경우 악성코드는 DIJ(다운로드 및 주입) 또는 SHI(쉘코드 및 주입 다운로드) 명령을 사용하여 Cobalt, Strike, Meterpreter 및 Silver와 같은 고급 페이로드를 다운로드합니다.
Check Point의 분석은 연구원들이 처음으로 야생에서 멀웨어를 관찰한 이후 약 2022개월 동안 Bumblebee에 대한 연구의 증가량에 추가되었습니다. 맬웨어는 여러 가지 이유로 주목을 받았습니다. 그 중 하나는 여러 위협 그룹에서 비교적 널리 사용된다는 것입니다. XNUMX년 XNUMX월 분석에서 Proofpoint의 연구원들은 최소한 세 가지 별개의 위협 그룹 Conti 및 Diavol과 같은 랜섬웨어를 포함하여 감염된 시스템에 다양한 XNUMX단계 페이로드를 전달하기 위해 Bumblebee를 배포합니다. Google의 위협 분석 그룹은 Bumblebee를 배포하는 행위자 중 한 명을 다음과 같이 식별했습니다. 초기 액세스 브로커 그들은 "Exotic Lily"로 추적하고 있습니다.
Proofpoint 및 기타 보안 연구원은 Bumblebee가 이전에 BazaLoader와 관련된 위협 행위자에 의해 사용되는 것으로 설명했습니다. 영화 스트리밍 서비스로 위장, 그러나 2022년 XNUMX월 현장에서 사라졌습니다.
정교하고 끊임없이 진화하는 위협
범블비가 주목받는 또 다른 이유는 보안 연구원들이 말하는 범블비의 정교함 때문이다. 그들은 가상화 방지 및 샌드박스 방지 검사, 암호화된 네트워크 통신, 실행 중인 프로세스에서 맬웨어 분석 활동의 징후를 확인하는 기능을 지적했습니다. 다른 많은 맬웨어 도구와 달리 Bumblebee의 작성자는 사용자 지정 패커를 사용하여 배포할 때 맬웨어를 포장하거나 마스킹한다고 Check Point는 말했습니다.
위협 행위자는 Bumblebee를 제공하기 위해 다양한 전술을 사용했습니다. 가장 일반적인 것은 ISO 또는 VHD(또는 디스크 이미지) 파일에 DLL과 유사한 바이너리를 포함하고 피싱 또는 스피어 피싱 이메일을 통해 전달하는 것입니다. 악성코드는 위협 행위자가 멀웨어를 전달하기 위해 컨테이너 파일을 사용하기 시작함 이제 Microsoft는 이전에 즐겨 사용했던 감염 벡터인 Office 매크로가 Windows 시스템에서 기본적으로 실행되지 않도록 비활성화했습니다.
Bumblebee의 끊임없는 진화는 또 다른 관심사였습니다. 이번 주 보고서에서 Check Point는 악성 코드가 지난 몇 개월 동안 어떻게 "지속적인 진화"를 겪었는지 언급했습니다. 예를 들어 보안 공급업체는 작성자가 ISO로 다시 전환하기 전에 PowerShell 스크립트를 사용하여 ISO 파일 사용에서 VHD 형식 파일로 잠시 전환한 방법을 지적했습니다. 마찬가지로, 2월 초까지 Bumblebee의 명령 및 제어 서버는 동일한 피해자 IP 주소에서 감염된 한 명의 피해자만 받아들였습니다. 체크포인트는 “즉, 동일한 공인 IP로 인터넷에 접속하는 조직 내 여러 대의 컴퓨터가 감염되면 CXNUMX 서버는 첫 번째 감염된 컴퓨터만 받아들인다”고 말했다.
그러나 맬웨어 작성자는 최근 이 기능을 해제했습니다. 즉, Bumblebee의 C2 서버는 이제 동일한 네트워크에 있는 여러 감염된 시스템과 통신할 수 있습니다. Check Point는 멀웨어 작성자가 처음에는 멀웨어를 테스트하고 지금은 그 단계를 넘어섰다고 이론화했습니다.
Check Point 및 Proofpoint와 같은 기타 공급업체는 조직이 환경에서 위협을 감지하고 차단하는 데 도움이 되도록 Bumblebee에서 사용할 수 있는 침해 지표를 만들었습니다.
