Bumblebee Malware Loader's Payloads Significantly Vary By Victim System

Een nieuwe analyse van Bumblebee, een bijzonder schadelijke malware-loader die in maart voor het eerst opdook, laat zien dat de payload voor systemen die deel uitmaken van een bedrijfsnetwerk heel anders is dan de payload voor stand-alone systemen.

Op systemen die deel lijken uit te maken van een domein, bijvoorbeeld systemen die mogelijk dezelfde Active Directory-server delen, is de malware geprogrammeerd om geavanceerde post-exploitatietools zoals Cobalt Strike te laten vallen. Aan de andere kant, wanneer Bumblebee vaststelt dat het op een machine is beland die deel uitmaakt van een werkgroep - of peer-to-peer LAN - is de payload over het algemeen bank- en informatiediefstal.

Verschillende malware

“Hoewel de geografische locatie van het slachtoffer geen enkel effect leek te hebben op het malwaregedrag, zagen we een heel groot verschil tussen de manier waarop Bumblebee zich gedraagt na het infecteren van machines”, zei Check Point deze week in een rapport op basis van een recente analyse van de malware.

"Als het slachtoffer is verbonden met WORKGROUP, ontvangt het in de meeste gevallen het DEX-commando (Download and Execute), waardoor het een bestand van de schijf laat vallen en uitvoeren", aldus Check Point. Als het systeem echter is verbonden met een AD-domein, gebruikt de malware de opdrachten Download and Inject (DIJ) of Download shellcode and Inject (SHI) om geavanceerde payloads zoals Cobalt, Strike, Meterpreter en Silver te downloaden.

De analyse van Check Point draagt bij aan het groeiende onderzoeksvolume rond Bumblebee in de zes maanden of zo sinds onderzoekers de malware voor het eerst in het wild hebben waargenomen. De malware heeft om verschillende redenen de aandacht getrokken. Een daarvan is het relatief wijdverbreide gebruik ervan onder meerdere dreigingsgroepen. In een analyse van april 2022 zeiden onderzoekers van Proofpoint dat ze op zijn minst hadden waargenomen: drie verschillende dreigingsgroepen het distribueren van Bumblebee om verschillende payloads in de tweede fase te leveren op geïnfecteerde systemen, waaronder ransomware zoals Conti en Diavol. De groep voor dreigingsanalyse van Google identificeerde een van de acteurs die Bumblebee distribueerde als een initiële toegangsmakelaar ze volgen als 'Exotische Lelie'.

Proofpoint en andere beveiligingsonderzoekers hebben beschreven dat Bumblebee wordt gebruikt door bedreigingsactoren die eerder waren geassocieerd met BazaLoader, een productieve malware-loader die onder andere vermomd als een dienst voor het streamen van films, maar die in februari 2022 van het toneel verdween.

Een geavanceerde en voortdurend evoluerende bedreiging

Een andere reden voor de aandacht die Bumblebee heeft getrokken, is wat beveiligingsonderzoekers hebben gezegd dat het raffinement is. Ze hebben gewezen op de antivirtualisatie- en anti-sandboxcontroles, de versleutelde netwerkcommunicatie en de mogelijkheid om lopende processen te controleren op tekenen van malware-analyse-activiteit. In tegenstelling tot veel andere malwaretools, hebben de auteurs van Bumblebee ook een aangepaste packer gebruikt om de malware in te pakken of te maskeren bij het verspreiden ervan, aldus Check Point.

Bedreigingsacteurs hebben verschillende tactieken gebruikt om Bumblebee te leveren. De meest gebruikelijke manier is om het DLL-achtige binaire bestand in een ISO- of VHD- of schijfkopiebestand in te sluiten en het via een phishing- of spear-phishing-e-mail af te leveren. De malware is een voorbeeld van hoe dreigingsactoren hebben: begonnen containerbestanden te gebruiken om malware te leveren nu Microsoft Office-macro's - hun vorige favoriete infectievector - heeft uitgeschakeld om standaard op Windows-systemen te worden uitgevoerd.

De constante evolutie van Bumblebee was een ander punt van zorg. In zijn rapport van deze week merkte Check Point op hoe de malware de afgelopen maanden in "constante evolutie" is geweest. Als voorbeeld wees de beveiligingsleverancier op hoe zijn auteurs kort overschakelden van het gebruik van ISO-bestanden naar bestanden in VHD-indeling met een PowerShell-script voordat ze terugschakelden naar ISO. Evenzo accepteerden de commando- en controleservers van Bumblebee tot begin juli slechts één geïnfecteerd slachtoffer van hetzelfde IP-adres van het slachtoffer. "Dit betekent dat als meerdere computers in een organisatie die toegang hebben tot internet met hetzelfde openbare IP-adres, zijn geïnfecteerd, de C2-server alleen de eerste geïnfecteerde accepteert", aldus Check Point.

De auteurs van de malware hebben die functie onlangs echter uitgeschakeld, wat betekent dat de C2-servers van Bumblebee nu kunnen communiceren met meerdere geïnfecteerde systemen op hetzelfde netwerk. Check Point theoretiseerde dat de auteurs van de malware de malware in eerste instantie alleen aan het testen waren en nu dat stadium voorbij zijn.

Check Point en andere leveranciers zoals Proofpoint hebben indicatoren van compromis beschikbaar gesteld voor Bumblebee om organisaties te helpen de dreiging in hun omgeving te detecteren en te blokkeren.

Generatieve data-intelligentie

De payloads van Bumblebee Malware Loader variëren aanzienlijk per slachtoffersysteem

Verschillende malware

Een geavanceerde en voortdurend evoluerende bedreiging

Nieuwe voedselinspectiesoftware voor de volksgezondheid uitgebracht door Inspect2go

Van klikken tot geld: de economie achter online gokautomaten

Laatste intelligentie

Britse reclame meldt uitgaven van GBP36.6 miljard in 2023

Stripe voert opnieuw cryptobetalingen uit met USDC op Ethereum, Polygon en Solana

CanSinoBIO CSO deelt de nieuwste resultaten van het wereldwijd innovatieve pneumokokkenvaccin van het bedrijf

Inleiding tot natuurlijke taalverwerking [gratis NLP-cursus]

De Braziliaanse Neobank Nubank introduceert nieuwe Crypto Wallet-functies voor Bitcoin, Ether en Solana

Recreatieve marihuanawetten die niet gekoppeld zijn aan verhoogd marihuanagebruik onder jongeren – Verbinding met het medische marihuanaprogramma

Chat met ons