ClickCease Attaques du logiciel malveillant Bumblebee : La menace WebDAV dévoilée

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Attaques du logiciel malveillant Bumblebee : La menace WebDAV dévoilée

Wajahat Raja

3 octobre 2023 - L'équipe d'experts de TuxCare

Les effrayantes attaques de logiciels malveillants attaques de logiciels malveillants Bumblebee ont fait un retour en force dans le domaine de la cybersécurité, constituant une une menace majeure pour la sécurité numérique des organisations. Après une brève absence, ce célèbre chargeur est réapparu avec des stratégies améliorées, sonnant l'alarme dans tout le secteur de la cybersécurité et en mettant l'accent sur la la récupération des attaques de ransomware.

 

Un changement dans la stratégie de Bumblebee

 

Le mode de fonctionnement de Bumblebee a récemment changé, selon Intel 471 Malware Intelligence. Au lieu de s'appuyer sur des serveurs de commande et de contrôle statiques, ce logiciel malveillant intègre désormais un algorithme de génération de domaines (DGA), ce logiciel malveillant intègre désormais un algorithme de génération de domaines (DGA), ce qui accroît sa résistance à la détection..

 

L'évolution permanente du bourdon

 

Le 1er septembre 2023une nouvelle version du chargeur Bumblebee, comportant des modifications architecturales substantielles, a été publiée.. Pour la communication, il est passé du protocole WebSocket à un protocole de contrôle de transmission (TCP) propriétaire. Il a également utilisé un algorithme de génération de domaines (DGA) pour générer 100 nouveaux domaines avec le domaine de premier niveau (TLD) ".life". Ce changement a augmenté la complexité tout en réduisant la dépendance à l'égard des services statiques de commandement et de contrôle..

 

La connexion WebDAV

 

Le 7 septembre 2023des spécialistes de la cybersécurité ont découvert une nouvelle vague d'activité de Bumblebee en utilisant des serveurs WebDAV (Web Distributed Authoring and Versioning). Les acteurs de la menace ont utilisé des courriels de spam malveillants malveillants comme mécanismes de livraison dans cette campagne. Ces courriels comprenaient des raccourcis Windows (.LNK) et des fichiers d'archives compressées (.ZIP) qui, une fois activés, lançaient le téléchargement du logiciel malveillant à partir de serveurs serveurs WebDAV.

 

Domaines découverts

Le logiciel malveillant Bumblebee cible quatre domaines qui ont été trouvés dans la campagne WebDAV observée, le quatrième domaine ayant été résolu et contacté avec succès :

 

  1. 3v1n35i5kwx[dot]life
  2. cmid1s1zeiu[dot]life
  3. Itszko2ot5u[dot]life
  4. newdnq1xnl9[dot]life

Cette évolution du chargeur Bumblebee témoigne d'une tentative coordonnée des acteurs de la menace pour améliorer les stratégies d'évasion et la résilience du réseau. L'utilisation des services WebDAV de 4shared comme technique de distribution introduit un nouveau vecteur d'attaque.

 

Les attaques du logiciel malveillant Bumblebee et sa notoriété

 

Bumblebee s'est fait connaître en tant que chargeur, devenant rapidement l'arme de prédilection des acteurs de la menace, anciennement liés à BazarLoader. de choix pour les acteurs de la menace anciennement liés à BazarLoader. Sa relation avec des charges utiles de ransomware comme Cobalt Strike, Metasploit et Sliver met en évidence sa puissance.

Le lien entre Bumblebee et les acteurs de la menace associés aux activités de Conti et de Trickbot souligne son importance stratégique dans le monde de la cybercriminalité. Un acteur a même tenté d'utiliser Bumblebee dans une campagne de publicité malveillante ciblant des utilisateurs professionnels aux États-Unisce qui démontre son attrait pour les cybercriminels.

 

WebDAV : un outil familier mais puissant

 

Les acteurs de la menace ont utilisé les services WebDAV 4shared comme mécanisme de distribution privilégié dans cette campagne. 4shared est un service d'hébergement de fichiers qui permet aux utilisateurs de charger et de télécharger des fichiers via une interface web et le service WebDAV du malware logiciel malveillant Bumblebee WebDAV du logiciel malveillant Bumblebee. Le protocole WebDAV, bien connu pour faciliter la gestion de fichiers à distance, constitue un point d'entrée pratique pour les cyberattaquants. point d'entrée pratique pour les cyberattaquants.

 

Les courriels trompeurs

 

Dans le cadre de la campagne de logiciels malveillants campagne de logiciels malveillants Bumblebeeles acteurs malveillants ont utilisé des courriels de spam trompeurs déguisés en divers documents, notamment des analyses, des notifications et des factures. La plupart des échantillons observés ont été distribués sous forme de fichiers .LNK. Lors de leur exécution, ces fichiers LNK déclenchaient le processeur de commande Windows, qui exécutait des commandes prédéfinies.

La première commande consistait à monter un lecteur réseau dans un dossier WebDAV, situé à "https://webdav.4shared[dot]com", en utilisant des informations d'authentification spécifiques. Les acteurs malveillants ont utilisé de faux courriels de spam déguisés en divers documents, tels que des scans, des avis et des factures, dans les organisations malveillantes Bumblebee. organisations de logiciels malveillants Bumblebee. Les pièces jointes de ces courriels étaient intrigantes, avec des noms de fichiers tels que "scan-document_2023(383).lnk" et "invoice-07september_2023(231).lnk".

 

Variations dans les méthodes d'attaque

 

Une enquête approfondie sur le logiciel malveillant logiciel malveillant Bumblebee a révélé des différences dans les paramètres de commande entre les échantillons. Après le montage du lecteur réseau, les commandes suivantes varient en fonction de l'échantillon. Certains utilisent "expand" pour extraire les fichiers, tandis que d'autres utilisent "replace.exe" comme option alternative. Les méthodes d'exécution de ces fichiers différaient également, avec l'utilisation de processus tels que "wmic.exe", "conhost.exe" et "schtasks".

Cette décision est préoccupante, étant donné l'implication antérieure de Bumblebee dans la distribution de ransomware tels que Conti et Akira.. L'adoption d'une méthode de distribution plus efficace et plus discrète, combinée à l'utilisation de la DGA, rend la cartographie de l'infrastructure de Bumblebee, le blocage de ses domaines et la perturbation de ses activités de plus en plus difficiles.

Intel 471 conseille de bloquer les URL malveillantes connues liées à cette campagneet de surveiller de près les journaux d'événements de la ligne de commande pour détecter toute activité inhabituelle.

Conclusion

 

Les organisations doivent être attentives à leurs efforts de cybersécurité car le virus Bumblebee progresse et s'adapte. L'utilisation de serveurs serveurs WebDAV comme méthode de distribution souligne l'importance de mettre en place des de mesures de sécurité complètesL'utilisation de serveurs WebDAV comme méthode de distribution souligne l'importance de mesures de sécurité complètes, d'une détection proactive des menaces et d'une surveillance continue pour se protéger contre les nouvelles menaces du logiciel malveillant menaces cybernétiques du logiciel malveillant Bumblebee.

Les sources de cet article comprennent des articles dans Bleeping Computer et GBHackers.

 

Résumé
Attaques du logiciel malveillant Bumblebee : La menace WebDAV dévoilée
Nom de l'article
Attaques du logiciel malveillant Bumblebee : La menace WebDAV dévoilée
Description
TuxCare aide les organisations à prendre en charge le support, la maintenance et la sécurité des systèmes Enterprise Linux.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information