Bumblebee-Malware-Angriffe: WebDAV-Bedrohung enthüllt
Der erschreckende Bumblebee-Malware-Angriffe sind mit Nachdruck in den Bereich in den Bereich der Cybersicherheit zurückgekehrt und stellen eine Bedrohung für die digitale Sicherheit von Unternehmen. Nach einer kurzen Abwesenheit ist dieser bekannte Lader mit verbesserten Strategien wieder aufgetaucht, die im gesamten Cybersicherheitssektor für Aufregung sorgen und legt einen großen Schwerpunkt auf Wiederherstellung nach Ransomware-Angriffen.
Eine Änderung der Hummelstrategie
Laut Intel 471 Malware Intelligence hat sich die Arbeitsweise von Bumblebee in letzter Zeit geändert. Anstatt sich auf statische Befehls- und Kontrollserver zu verlassen, enthält diese Malware jetzt einen Domain Generation Algorithm (DGA), was ihre Resistenz gegen Entdeckung erhöht.
Die fortschreitende Evolution der Hummel
Auf 1. September 2023wurde eine neue Version des Bumblebee-Laders mit wesentlichen architektonischen Änderungen veröffentlicht. Für die Kommunikation wurde vom WebSocket-Protokoll auf ein proprietäres Transmission Control Protocol (TCP) umgestellt. Außerdem wurde ein Domänengenerierungsalgorithmus (DGA) verwendet, um 100 neue Domänen mit der Top-Level-Domäne (TLD) ".life" zu erzeugen. Diese Änderung erhöhte die Komplexität und verringerte gleichzeitig die Abhängigkeit von statischen Befehls- und Kontrolldiensten.
Die WebDAV-Verbindung
Auf 7. September 2023entdeckten Cybersicherheitsspezialisten eine neue Welle von Bumblebee-Aktivitäten durch Nutzung von WebDAV-Servern (Web Distributed Authoring and Versioning). Die Bedrohungsakteure verwendeten bösartige Spam-E-Mails als Verbreitungsmechanismen in dieser Kampagne. Diese E-Mails enthielten Windows-Verknüpfung (.LNK) und komprimierte Archivdateien (.ZIP) die, wenn sie aktiviert wurden, den Download der Malware von WebDAV-Servern.
Aufgedeckte Domains
Bumblebee-Malware zielt auf vier Domänen, die in der beobachteten WebDAV-Kampagne gefunden wurden, wobei die vierte Domäne erfolgreich aufgelöst und kontaktiert wurde:
- 3v1n35i5kwx[dot]life
- cmid1s1zeiu[dot]life
- Itszko2ot5u[dot]life
- newdnq1xnl9[dot]life
Diese Weiterentwicklung des Bumblebee-Laders zeigt einen koordinierten Versuch der Bedrohungsakteure, die Umgehungsstrategien und die Widerstandsfähigkeit des Netzwerks zu verbessern. Die Verwendung von WebDAV-Dienste von 4shared als Verbreitungsmethode stellt einen neuen Angriffsvektor dar.
Bumblebee-Malware-Angriffe und Aufstieg zur Berühmtheit
Bumblebee wurde als Lader bekannt und entwickelte sich schnell zur bevorzugten Waffe für Bedrohungsakteure Bedrohungsakteure, die zuvor mit BazarLoader in Verbindung standen. Seine Beziehung zu Ransomware-Payloads wie Cobalt Strike, Metasploit und Sliver unterstreicht seine Stärke.
Die Verbindung zwischen Bumblebee und Bedrohungsakteuren, die mit Conti- und Trickbot-Aktivitäten in Verbindung gebracht werden, unterstreicht seine strategische Bedeutung in der Welt der Cyberkriminalität. Ein Bedrohungsakteur versuchte sogar, Bumblebee Bumblebee in einer bösartigen Werbekampagne zu verwenden, die auf Geschäftskunden in den Vereinigten Staaten abzieltezu verwenden, was seine Attraktivität für Cyber-Kriminelle unterstreicht.
WebDAV: Ein vertrautes, aber leistungsfähiges Werkzeug
Die Bedrohungsakteure nutzten bei der aktuellen Kampagne 4shared WebDAV-Dienste als bevorzugten Verbreitungsmechanismus. 4shared ist ein File-Hosting-Dienst der es Nutzern ermöglicht, Dateien über eine Weboberfläche hoch- und herunterzuladen, und die Bumblebee-Malware WebDAV Protokoll. WebDAV ist bekannt dafür, dass es die Verwaltung von Dateien aus der Ferne erleichtert und bietet einen praktischen Einstiegspunkt für Cyber-Angreifer.
Täuschende E-Mail-Köder
In der Bumblebee-Malware-Kampagnesetzten böswillige Akteure betrügerische Spam-E-Mails ein, die als verschiedene Dokumente getarnt waren, darunter Scans, Benachrichtigungen und Rechnungen. Die meisten der beobachteten Beispiele wurden als .LNK-Dateien verbreitet. Bei der Ausführung lösten diese .LNK-Dateien den Windows-Befehlsprozessor, der vordefinierte Befehle ausführt.
Der erste Befehl beinhaltete das Einbinden eines Netzlaufwerks in einen WebDAV-Ordner mit der Adresse "https://webdav.4shared[dot]com" unter Verwendung bestimmter Authentifizierungsdaten. Böswillige Akteure verwendeten gefälschte Spam-E-Mails, die als verschiedene Dokumente wie Scans, Benachrichtigungen und Rechnungen getarnt waren, in den Bumblebee-Malware-Organisationen. Die Anhänge in diesen E-Mails waren faszinierend, mit Dateinamen wie "scan-document_2023(383).lnk" und "invoice-07september_2023(231).lnk".
Variationen der Angriffsmethoden
Eine umfassende Untersuchung der Bumblebee-Malware Angriffs zeigte Unterschiede in den Befehlseinstellungen der einzelnen Proben. Nach dem Einbinden des Netzlaufwerks variierten die folgenden Befehle je nach Beispiel. Einige verwendeten "expand", um Dateien zu extrahieren, während andere "replace.exe" als alternative Option nutzten. Die Methoden zur Ausführung dieser Dateien unterschieden sich ebenfalls, wobei Prozesse wie "wmic.exe", "conhost.exe" und "schtasks" verwendet wurden.
Dieser Schritt gibt Anlass zur Sorge, da der früheren Beteiligung von Bumblebee an der Verbreitung von Ransomware-Payloads wie Conti und Akira. Die Einführung einer effizienteren und schwer fassbaren Verbreitungsmethode in Verbindung mit der Verwendung von DGA macht es zunehmend schwieriger, die Infrastruktur von Bumblebee zu kartieren, seine Domänen zu blockieren und seine Aktivitäten zu unterbrechen.
Intel 471 rät, bekannte bösartige URLs im Zusammenhang mit dieser Kampagne zu blockierenzu blockieren und die Ereignisprotokolle der Befehlszeile genau auf ungewöhnliche Aktivitäten zu überwachen.
Schlussfolgerung
Unternehmen müssen bei ihren Cybersicherheitsbemühungen wachsam sein, da sich der Bumblebee-Virus weiterentwickelt und anpasst. Die Verwendung von WebDAV-Servern als Verbreitungsmethode unterstreicht die Bedeutung von umfassender Sicherheitsmaßnahmenproaktiver Erkennung von Bedrohungen und laufender Überwachung zum Schutz vor neuen Cyber-Bedrohungen durch Bumblebee-Malware.
Zu den Quellen für diesen Artikel gehören Artikel in Bleeping Computer und GBHackers.