[ad_1]
Um carregador de malware descoberto recentemente chamado Bumblebee é provavelmente o mais recente desenvolvimento do sindicato Conti, projetado para substituir o backdoor BazarLoader usado para entregar cargas de ransomware.
A aparição do Bumblebee em campanhas de phishing em março coincide com uma queda no uso do BazarLoader para entregar malware de criptografia de arquivos, dizem os pesquisadores.
BazarLoader é o trabalho dos desenvolvedores do botnet TrickBot, que forneceu acesso às redes das vítimas para ataques de ransomware. A gangue TrickBot agora está trabalhando para o sindicato Conti.
Em um relatório de março sobre um agente de ameaças rastreado como ‘Exotic Lily’ que forneceu acesso antecipado para operações de ransomware Conti e Diavol, o Grupo de Análise de Ameaças do Google diz que o agente começou a liberar o Bumblebee, em vez do malware. Normal BazarLoader, para entregar o Cobalt Strike. .
Métodos de entrega de abelhas
Eli SalemO principal caçador de ameaças e engenheiro reverso de malware da Cybereason diz que as técnicas de implantação do Bumblebee são as mesmas do BazarLoader e do IcedID, que já foram vistos implantando o ransomware Conti no passado.
A Proofpoint confirma a descoberta de Salem e diz ter observado campanhas de phishing nas quais “Bumblebee [was] usado por vários agentes de ameaças de crimeware observados anteriormente, fornecendo BazaLoader e IcedID.”
“Os agentes de ameaças que usam o Bumblebee estão associados a cargas de malware que foram vinculadas a campanhas de ransomware subsequentes” – Proofpoint
A empresa também observa que “vários atores de ameaças que normalmente usam o BazaLoader em campanhas de malware fizeram a transição para o Bumblebee” para remover o shellcode e estruturas Cobalt Strike, Sliver e Meterpreter projetados para avaliação de segurança da equipe vermelha.
Ao mesmo tempo, o BazaLoader não é listado nos dados do Proofpoint desde fevereiro.
Em um relatório hoje, a Proofpoint diz que observou várias campanhas de e-mail distribuindo o Bumblebee dentro de anexos ISO contendo atalhos e DLLs.
Uma campanha explorou um doce documento DocuSign que levou a um arquivo ZIP contendo um contêiner ISO malicioso hospedado no serviço de armazenamento em nuvem OneDrive da Microsoft.
Os investigadores dizem que o e-mail malicioso também incluiu um anexo HTML que apareceu como um e-mail em uma conta não paga, diz a Proofpoint.
A URL incorporada no arquivo HTML usava um serviço de redirecionamento baseado no Prometheus TDS (Serviço de Distribuição de Tráfego) que filtra os downloads com base no fuso horário e nos cookies da vítima. O destino final também foi o ISO malicioso hospedado no OneDrive.
Os pesquisadores da Proofpoint atribuíram com muita confiança essa campanha ao grupo cibercriminoso TA579. A Proofpoint rastreia o TA579 desde agosto de 2021. Esse ator frequentemente entregava BazaLoader e IcedID em campanhas anteriores.
Em março, a Proofpoint observou uma campanha que entregava o Bumblebee por meio de formulários de contato no site de um alvo. As mensagens alegavam que o site usava imagens roubadas e incluía um link que entregava um arquivo ISO contendo o malware.
A Proofpoint atribui essa campanha a outro agente de ameaças que a empresa rastreia como TA578 desde maio de 2020 e usa campanhas de e-mail para entregar malware como Ursnif, IcedID, KPOT Stealer, Buer Loader e BazaLoader, bem como Cobalt Strike.
Os pesquisadores detectaram outra campanha em abril que sequestrou tópicos de e-mail para entregar o carregador de malware Bumblebee em respostas ao alvo com um anexo ISO arquivado.
Embora não tenha encontrado evidências concretas, a Proofpoint acredita que os agentes de ameaças que implantam o Bumblebee são agentes iniciais de acesso à rede que trabalham com agentes de ransomware.
Malware de alta complexidade
Os pesquisadores concordam que o Bumblebee é um “carregador de malware novo e altamente sofisticado” que integra técnicas de evasão complexas e elaboradas e truques anti-análise que incluem métodos complexos de antivirtualização.
Em uma análise técnica na quinta-feira, Eli Salem mostra que os autores do Bumblebee usaram todo o código anti-análise disponível publicamente do aplicativo ‘malware’ al-khaser PoC.
O exame do código de Salem revelou que o malware procura várias ferramentas para análise dinâmica e estática, tenta detectar “qualquer tipo de ambiente de virtualização” pesquisando seus processos e verificando chaves de registro e caminhos de arquivos.
O pesquisador observa que uma das coisas mais interessantes que encontrou no componente principal do carregador Bumblebee é a presença de dois arquivos DLL de 32/64 bits chamados RapportGP.dll, nome usado pelo software de segurança Rapport da Trusteer para proteger os dados. como credenciais.
Em sua análise técnica separada, a Proofpoint descobriu que o carregador Bumblebee suporta os seguintes comandos:
- Shi: injeção de shellcode
- Dij: injeção de DLL na memória de outros processos
- Dex: Baixe o executável
- sdl: desinstale o carregador
- Ins: Habilite a persistência por meio de uma tarefa agendada para um script do Visual Basic que carrega o Bumblebee
Bumblebee usa código TrickBot
Pesquisadores de malware das empresas de segurança cibernética Proofpoint e Cybereason analisaram o Bumblebee e notaram semelhanças com o malware TrickBot em código, métodos de entrega e cargas úteis.
Salem fez uma conexão entre Bumblebee e TrickBot depois de ver que ambos os malwares contam com o mesmo mecanismo de instalação para ganchos.
As semelhanças vão além, pois o Bumblebee usa a mesma técnica de evasão para RapportGP.DLL que o TrickBot faz para seu módulo de injeção de web.
Além disso, ambos os malwares tentam usar LoadLibrary e obter o endereço da função que desejam capturar, descobriu o pesquisador.
Salem diz que, embora não haja evidências suficientes para dizer que Bumblebee e TrickBot tenham o mesmo autor, é plausível supor que o desenvolvedor do Bumblebee tenha o código-fonte do módulo de webinjection do TrickBot.
Desenvolvimento rápido de malware
Bumblebee está desenvolvendo ativamente e ganhando novos recursos a cada atualização. O mais recente que a Proofpoint analisou é de 19 de abril e suporta vários servidores de comando e controle (C2).
No entanto, a Proofpoint diz que o desenvolvimento mais significativo é a adição de uma camada de criptografia via cifra de fluxo RC4 para comunicações de rede, que usa uma chave criptografada para criptografar solicitações e descriptografar respostas de C2.
Outra modificação apareceu em 22 de abril, quando os pesquisadores notaram que o Bumblebee integrou um thread que verifica ferramentas comuns usadas por analistas de malware em uma lista criptografada.
A Proofpoint acredita que o Bumblebee é uma ferramenta multifuncional que pode ser usada para acesso inicial às redes das vítimas para posteriormente implantar outras cargas úteis, como ransomware.
Sherrod DeGrippo, vice-presidente de Pesquisa e Detecção de Ameaças da Proofpoint, diz que “o malware é bastante sofisticado e demonstra estar em desenvolvimento ativo e contínuo, introduzindo novos métodos para evitar a detecção”.
os relatórios [1, 2] por Eli Salem da Cybereason e Proofpoint chegaram com um dia de diferença e inclui uma análise técnica detalhada dos aspectos mais significativos do malware Bumblebee.
[ad_2]
