ClickCease Ataques de malware Bumblebee: Desvelada la amenaza WebDAV

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Ataques de malware Bumblebee: Desvelada la amenaza WebDAV

Wajahat Raja

3 de octubre de 2023 - Equipo de expertos TuxCare

El aterrador ataques de malware Bumblebee han regresado con fuerza en el ámbito de la ciberseguridad, planteando una una gran amenaza para la seguridad digital de las organizaciones. Tras una breve ausencia, este célebre cargador ha reaparecido con estrategias mejoradas, haciendo saltar las alarmas en todo el sector de la ciberseguridad y poniendo un gran énfasis en recuperarse de los ataques de ransomware.

 

Un cambio en la estrategia de Bumblebee

 

El modo de operar de Bumblebee ha cambiado últimamente, según Intel 471 Malware Intelligence. En lugar de depender de servidores estáticos de mando y control, este malware incluye ahora un Algoritmo de Generación de Dominios (DGA), lo que aumenta su resistencia a la detección.

 

La evolución del abejorro

 

En 1 de septiembre de 2023se lanzó una nueva versión del cargador Bumblebee con importantes modificaciones arquitectónicas. Para la comunicación, cambió del protocolo WebSocket a un Protocolo de Control de Transmisión (TCP) propietario. También utilizó un Algoritmo de Generación de Dominios (AGD) para generar 100 nuevos dominios con el dominio de nivel superior (TLD) ".life". Este cambio aumentó la complejidad y redujo la dependencia de los servicios estáticos de mando y control..

 

La conexión WebDAV

 

En 7 de septiembre de 2023los especialistas en ciberseguridad descubrieron una nueva oleada de actividad de Bumblebee al utilizando servidores WebDAV (Web Distributed Authoring and Versioning).. Los actores de la amenaza utilizaron correos spam maliciosos como mecanismos de entrega en esta campaña. Estos correos incluían archivos de acceso directo de Windows (.LNK) y archivos comprimidos (.ZIP) que, al activarse, iniciaban la descarga de malware desde servidores WebDAV.

 

Dominios al descubierto

El malware Bumblebee se dirige a cuatro dominios que se encontraron en la campaña WebDAV observada, con el cuarto dominio resuelto y contactado con éxito:

 

  1. 3v1n35i5kwx[punto]vida
  2. cmid1s1zeiu[punto]vida
  3. Itszko2ot5u[punto]vida
  4. newdnq1xnl9[punto]vida

Esta evolución del cargador Bumblebee demuestra un intento coordinado de los actores de la amenaza por mejorar las estrategias de evasión y la resistencia de la red. El uso de los servicios WebDAV de servicios WebDAV de 4shared como técnica de distribución introduce un nuevo vector de ataque.

 

El malware Bumblebee ataca y salta a la fama

 

Bumblebee saltó a la fama como cargador, convirtiéndose rápidamente en el arma elegida por los actores de amenazas actores de amenazas anteriormente vinculados a BazarLoader. Su relación con cargas útiles de ransomware como Cobalt Strike, Metasploit y Sliver pone de manifiesto su potencia.

La conexión entre Bumblebee y los actores de amenazas asociados a las actividades de Conti y Trickbot subraya su importancia estratégica en el mundo de la ciberdelincuencia. Un actor de amenazas incluso intentó utilizar Bumblebee en una campaña de publicidad maliciosa dirigida a usuarios empresariales en Estados Unidoslo que demuestra su atractivo entre los ciberdelincuentes.

 

WebDAV: una herramienta familiar pero potente

 

Los actores de la amenaza utilizaron los servicios 4shared WebDAV como su mecanismo de distribución preferido en esta campaña. 4shared es un servicio de alojamiento de archivos que permite a los usuarios cargar y descargar archivos a través de una interfaz web y el malware WebDAV del malware Bumblebee del malware Bumblebee. WebDAV, conocido por facilitar la gestión remota de archivos, ofrece un punto de entrada práctico para los ciberatacantes. punto de entrada práctico para los ciberatacantes.

 

Señuelos engañosos por correo electrónico

 

En la campaña de malware Bumblebeelos malhechores emplearon correos electrónicos de spam engañosos disfrazados de diversos documentos, como escaneos, notificaciones y facturas. La mayoría de las muestras observadas se distribuían como archivos .LNK. Una vez ejecutados, estos archivos .LNK activaban el procesador de comandos de Windows, que ejecutaba comandos predefinidos.

El primer comando consistía en montar una unidad de red en una carpeta WebDAV, ubicada en "https://webdav.4shared[dot]com", utilizando credenciales de autenticación específicas. Los actores malintencionados utilizaron falsos correos spam disfrazados de diversos documentos, como escaneos, avisos y facturas, en las organizaciones del malware Bumblebee. Los archivos adjuntos en estos correos electrónicos eran intrigantes, con nombres de archivo como "scan-document_2023(383).lnk" y "invoice-07september_2023(231).lnk".

 

Variaciones en los métodos de ataque

 

Una investigación exhaustiva del malware Bumblebee mostró diferencias en la configuración de comandos entre las muestras. Tras el montaje de la unidad de red, los siguientes comandos variaban en función de la muestra. Algunos utilizaban "expand" para extraer archivos, mientras que otros utilizaban "replace.exe" como opción alternativa. Los métodos para ejecutar estos archivos también diferían, con el empleo de procesos como "wmic.exe", "conhost.exe" y "schtasks".

Este movimiento es motivo de preocupación, dada la participación previa de Bumblebee en la distribución de ransomware como Conti y Akira.. La adopción de un método de distribución más eficaz y escurridizo, combinada con el uso de DGA, dificulta cada vez más el mapeo de la infraestructura de Bumblebee, el bloqueo de sus dominios y la interrupción de sus actividades.

Intel 471 aconseja bloquear las URL maliciosas conocidas relacionadas con esta campañaasí como vigilar de cerca los registros de eventos de la línea de comandos para detectar cualquier actividad inusual.

Conclusión

 

Las organizaciones deben estar atentas en sus esfuerzos de ciberseguridad a medida que el virus Bumblebee avanza y se adapta. El uso de servidores servidores WebDAV como método de distribución subraya la importancia de adoptar medidas de seguridad integralesla detección proactiva de amenazas y la supervisión continua para protegerse contra el malware emergente ciberamenazas del malware Bumblebee.

Las fuentes de este artículo incluyen artículos en Bleeping Computer y GBHackers.

 

Resumen
Ataques de malware Bumblebee: Desvelada la amenaza WebDAV
Nombre del artículo
Ataques de malware Bumblebee: Desvelada la amenaza WebDAV
Descripción
TuxCare ayuda a las organizaciones a ocuparse de la asistencia, el mantenimiento y la seguridad de los sistemas Enterprise Linux.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín