ClickCease Bumblebee-Malware-Angriffe: WebDAV-Bedrohung enthüllt

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Bumblebee-Malware-Angriffe: WebDAV-Bedrohung enthüllt

Wajahat Raja

3. Oktober 2023. TuxCare-Expertenteam

Der erschreckende Bumblebee-Malware-Angriffe sind mit Nachdruck in den Bereich in den Bereich der Cybersicherheit zurückgekehrt und stellen eine Bedrohung für die digitale Sicherheit von Unternehmen. Nach einer kurzen Abwesenheit ist dieser bekannte Lader mit verbesserten Strategien wieder aufgetaucht, die im gesamten Cybersicherheitssektor für Aufregung sorgen und legt einen großen Schwerpunkt auf Wiederherstellung nach Ransomware-Angriffen.

 

Eine Änderung der Hummelstrategie

 

Laut Intel 471 Malware Intelligence hat sich die Arbeitsweise von Bumblebee in letzter Zeit geändert. Anstatt sich auf statische Befehls- und Kontrollserver zu verlassen, enthält diese Malware jetzt einen Domain Generation Algorithm (DGA), was ihre Resistenz gegen Entdeckung erhöht.

 

Die fortschreitende Evolution der Hummel

 

Auf 1. September 2023wurde eine neue Version des Bumblebee-Laders mit wesentlichen architektonischen Änderungen veröffentlicht. Für die Kommunikation wurde vom WebSocket-Protokoll auf ein proprietäres Transmission Control Protocol (TCP) umgestellt. Außerdem wurde ein Domänengenerierungsalgorithmus (DGA) verwendet, um 100 neue Domänen mit der Top-Level-Domäne (TLD) ".life" zu erzeugen. Diese Änderung erhöhte die Komplexität und verringerte gleichzeitig die Abhängigkeit von statischen Befehls- und Kontrolldiensten.

 

Die WebDAV-Verbindung

 

Auf 7. September 2023entdeckten Cybersicherheitsspezialisten eine neue Welle von Bumblebee-Aktivitäten durch Nutzung von WebDAV-Servern (Web Distributed Authoring and Versioning). Die Bedrohungsakteure verwendeten bösartige Spam-E-Mails als Verbreitungsmechanismen in dieser Kampagne. Diese E-Mails enthielten Windows-Verknüpfung (.LNK) und komprimierte Archivdateien (.ZIP) die, wenn sie aktiviert wurden, den Download der Malware von WebDAV-Servern.

 

Aufgedeckte Domains

Bumblebee-Malware zielt auf vier Domänen, die in der beobachteten WebDAV-Kampagne gefunden wurden, wobei die vierte Domäne erfolgreich aufgelöst und kontaktiert wurde:

 

  1. 3v1n35i5kwx[dot]life
  2. cmid1s1zeiu[dot]life
  3. Itszko2ot5u[dot]life
  4. newdnq1xnl9[dot]life

Diese Weiterentwicklung des Bumblebee-Laders zeigt einen koordinierten Versuch der Bedrohungsakteure, die Umgehungsstrategien und die Widerstandsfähigkeit des Netzwerks zu verbessern. Die Verwendung von WebDAV-Dienste von 4shared als Verbreitungsmethode stellt einen neuen Angriffsvektor dar.

 

Bumblebee-Malware-Angriffe und Aufstieg zur Berühmtheit

 

Bumblebee wurde als Lader bekannt und entwickelte sich schnell zur bevorzugten Waffe für Bedrohungsakteure Bedrohungsakteure, die zuvor mit BazarLoader in Verbindung standen. Seine Beziehung zu Ransomware-Payloads wie Cobalt Strike, Metasploit und Sliver unterstreicht seine Stärke.

Die Verbindung zwischen Bumblebee und Bedrohungsakteuren, die mit Conti- und Trickbot-Aktivitäten in Verbindung gebracht werden, unterstreicht seine strategische Bedeutung in der Welt der Cyberkriminalität. Ein Bedrohungsakteur versuchte sogar, Bumblebee Bumblebee in einer bösartigen Werbekampagne zu verwenden, die auf Geschäftskunden in den Vereinigten Staaten abzieltezu verwenden, was seine Attraktivität für Cyber-Kriminelle unterstreicht.

 

WebDAV: Ein vertrautes, aber leistungsfähiges Werkzeug

 

Die Bedrohungsakteure nutzten bei der aktuellen Kampagne 4shared WebDAV-Dienste als bevorzugten Verbreitungsmechanismus. 4shared ist ein File-Hosting-Dienst der es Nutzern ermöglicht, Dateien über eine Weboberfläche hoch- und herunterzuladen, und die Bumblebee-Malware WebDAV Protokoll. WebDAV ist bekannt dafür, dass es die Verwaltung von Dateien aus der Ferne erleichtert und bietet einen praktischen Einstiegspunkt für Cyber-Angreifer.

 

Täuschende E-Mail-Köder

 

In der Bumblebee-Malware-Kampagnesetzten böswillige Akteure betrügerische Spam-E-Mails ein, die als verschiedene Dokumente getarnt waren, darunter Scans, Benachrichtigungen und Rechnungen. Die meisten der beobachteten Beispiele wurden als .LNK-Dateien verbreitet. Bei der Ausführung lösten diese .LNK-Dateien den Windows-Befehlsprozessor, der vordefinierte Befehle ausführt.

Der erste Befehl beinhaltete das Einbinden eines Netzlaufwerks in einen WebDAV-Ordner mit der Adresse "https://webdav.4shared[dot]com" unter Verwendung bestimmter Authentifizierungsdaten. Böswillige Akteure verwendeten gefälschte Spam-E-Mails, die als verschiedene Dokumente wie Scans, Benachrichtigungen und Rechnungen getarnt waren, in den Bumblebee-Malware-Organisationen. Die Anhänge in diesen E-Mails waren faszinierend, mit Dateinamen wie "scan-document_2023(383).lnk" und "invoice-07september_2023(231).lnk".

 

Variationen der Angriffsmethoden

 

Eine umfassende Untersuchung der Bumblebee-Malware Angriffs zeigte Unterschiede in den Befehlseinstellungen der einzelnen Proben. Nach dem Einbinden des Netzlaufwerks variierten die folgenden Befehle je nach Beispiel. Einige verwendeten "expand", um Dateien zu extrahieren, während andere "replace.exe" als alternative Option nutzten. Die Methoden zur Ausführung dieser Dateien unterschieden sich ebenfalls, wobei Prozesse wie "wmic.exe", "conhost.exe" und "schtasks" verwendet wurden.

Dieser Schritt gibt Anlass zur Sorge, da der früheren Beteiligung von Bumblebee an der Verbreitung von Ransomware-Payloads wie Conti und Akira. Die Einführung einer effizienteren und schwer fassbaren Verbreitungsmethode in Verbindung mit der Verwendung von DGA macht es zunehmend schwieriger, die Infrastruktur von Bumblebee zu kartieren, seine Domänen zu blockieren und seine Aktivitäten zu unterbrechen.

Intel 471 rät, bekannte bösartige URLs im Zusammenhang mit dieser Kampagne zu blockierenzu blockieren und die Ereignisprotokolle der Befehlszeile genau auf ungewöhnliche Aktivitäten zu überwachen.

Schlussfolgerung

 

Unternehmen müssen bei ihren Cybersicherheitsbemühungen wachsam sein, da sich der Bumblebee-Virus weiterentwickelt und anpasst. Die Verwendung von WebDAV-Servern als Verbreitungsmethode unterstreicht die Bedeutung von umfassender Sicherheitsmaßnahmenproaktiver Erkennung von Bedrohungen und laufender Überwachung zum Schutz vor neuen Cyber-Bedrohungen durch Bumblebee-Malware.

Zu den Quellen für diesen Artikel gehören Artikel in Bleeping Computer und GBHackers.

 

Zusammenfassung
Bumblebee-Malware-Angriffe: WebDAV-Bedrohung enthüllt
Artikel Name
Bumblebee-Malware-Angriffe: WebDAV-Bedrohung enthüllt
Beschreibung
TuxCare unterstützt Unternehmen bei der Betreuung, Wartung und Sicherheit von Enterprise Linux Systemen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter