Kabuk kodunu ve Cobalt Strike, Sliver ve Meterpreter gibi ikinci aşama araçlarını – muhtemelen fidye yazılımı saldırılarına kadar – getiren Bumblebee adlı karmaşık yeni bir kötü amaçlı yazılım yükleyiciye sahip en az üç ayrı siber saldırı dalgası devam ediyor.
Proofpoint’in araştırmasına göre, Bumblebee, bir ilk erişim aracı olarak – sonraki ikili dosyaları yüklemeden önce bir hedefi etkileyen arka kapı kötü amaçlı yazılımları – gizlilik konusunda uzmanlaşmıştır.
Araştırmacılar Perşembe günü yayınlanan bir raporda, “Bumblebee aktif bir geliştirme aşamasında ve karmaşık sanallaştırmayı da içerecek şekilde ayrıntılı kaçınma teknikleri kullanıyor.” “İşlem içi boşaltma veya DLL yerleştirme kullanan diğer kötü amaçlı yazılımların çoğundan farklı olarak, bu yükleyici, komut ve kontrolden (C2) alınan komutlardan kabuk kodunu başlatmak için eşzamansız bir prosedür çağrısı (APC) enjeksiyonu kullanır.”
Ayrıca, Bumblebee, genellikle fidye yazılımı saldırılarını önceden haber veren iyi bilinen BazaLoader aracının önemli ölçüde yükseltilmiş bir yedeği gibi görünüyor.
Araştırmacılar raporda, “Bumblebee kullanan tehdit aktörleri, takip eden fidye yazılımı kampanyalarıyla bağlantılı kötü amaçlı yazılım yükleriyle ilişkilendiriliyor” diyor. Ve “Proofpoint tarafından tanımlanan kampanyalar, ayrıntılı etkinlikle örtüşüyor [by Google] yol açan Conti ve Diavol fidye yazılımı.”
BazaLoader Değişimi
Araştırmacılar, BazaLoader’ın Proofpoint’in telemetrisinden kaybolmasından kısa bir süre sonra, Bumblebee’nin ilk kez Mart ayında sahneye çıktığını söyledi.
BazaLoader o zamana kadar, ilk kez 2020’de görülen yaygın bir kötü amaçlı yazılımdı ve siber suç odağını Emotet, Trickbot ve IcedID gibi diğer tercih edilen ilk erişim kötüleriyle paylaşıyordu. Özellikle, Conti fidye yazılımı enfeksiyonlarına yol açan birkaç yüksek hacimli kampanyada kullanıldı.
“BazaLoader’ın siber suç tehdidi ortamından görünür şekilde kaybolması, Conti Leaks’in zamanlaması ile aynı zamana denk geliyor; Şubat ayının sonunda, Conti’nin iç operasyonlarına erişimi olan bir Ukraynalı araştırmacı, siber suç örgütünden veri sızdırmaya başladı. sızdırılmış dosyalar,” diye açıklıyor araştırmacılar raporda.
Raporda, Bumblebee’nin daha önce BazaLoader’ı teslim ederken gözlemlenen aynı suç yazılımı grupları tarafından yürütülen kampanyalarda ortaya çıktığı belirtiliyor. Proofpoint, grupların muhtemelen daha önce bahsedilen Google TAG araştırmasıyla örtüşen ilk erişim komisyoncuları (IAB’ler) olduğunu ekledi. IAB’ler hedeflere sızar ve Dark Web’deki arka kapılı kurumsal ağlara özel erişim satar ve genellikle gelişen yeraltı ekonomisinin bir parçası olarak fidye yazılımı operatörleriyle ortaklık kurarlar. Yamasız makineler bulma, parola kırma ve kaba zorlama, sosyal mühendislik ve kimlik avı ve bulaşma için diğer yaygın yollar bulma konusunda mükemmeller.
Proofpoint araştırmacıları, “Kötü amaçlı yazılım kampanyalarında genellikle BazaLoader’ı kullanan birkaç tehdit aktörü Bumblebee’ye geçiş yaptı” diyor. “Proofpoint, Bumblebee kullanan aktörlerin ilk erişim kolaylaştırıcıları olarak kabul edilebileceğini orta düzeyde bir güvenle değerlendirir.”
Aktivite Kovanı: Devam Eden Siber Suç Kampanyaları
Mart ayından itibaren Proofpoint, izlenen en az üç tehdit aktörü tarafından e-posta kampanyaları aracılığıyla dağıtılan Bumblebee kampanyalarını gözlemledi.
“Cazibeler, dağıtım teknikleri ve dosya adları tipik olarak kampanyaları dağıtan farklı tehdit aktörlerine göre özelleştirilse de, Proofpoint kampanyalar arasında kısayol dosyaları ve DLL’ler içeren ISO dosyalarının kullanımı ve birden çok kişi tarafından kullanılan ortak bir DLL giriş noktası gibi birkaç ortak nokta gözlemledi. aktörler aynı hafta içinde” dedi. ISO dosyaları, optik disklerin, DVD’lerin, CD’lerin ve diğer ortamların görüntülerini depolamak için kullanılır.
Bir durumda, DocuSign markalı bir e-posta kampanyası, OneDrive’da barındırılan ödenmemiş bir fatura gibi görünen kötü niyetli, sıkıştırılmış bir ISO dosyasını indirmeleri için hedefleri kandırmak için tasarlanmıştır. E-postalar, alıcılardan iletinin gövdesinde “BELGEYİ İNCELE”lerini isteyen bir köprü içeriyordu ya da HTML ekleri kullanıyorlardı.
Araştırmacılar, “HTML ekindeki gömülü URL, Proofpoint’in Cookie Reloaded olarak adlandırdığı bir yönlendirme hizmeti kullandı; indirmeleri potansiyel kurbanın zaman dilimine ve çerezlerine göre filtrelemek için Prometheus TDS kullanan bir URL yönlendirme hizmeti”. “Yönlendirici, kullanıcıyı, yine OneDrive’da barındırılan sıkıştırılmış bir ISO dosyasına yönlendirdi.”
ISO dosyası, tıklandığında Bumblebee indiricisini çalıştırmak için doğru parametrelerle “Attachments.dat” dosyasını çalıştıran “ATTACHME.LNK” adlı bir kısayol dosyası içeriyordu.
Başka bir durumda, bir kampanya, kötü niyetli sıkıştırılmış ISO ekleri içeren e-postaları iletmek için ileti dizisi hırsızlığı (yani, siber suçlular mevcut e-posta alışverişlerine yanıt verdiğinde, meşru konuşmalara dahil olduklarında) kullandı.
Ve yine başka bir durumda, e-postalar, hedefin web sitesindeki bir iletişim formuna bir mesaj gönderilerek ve hedefin sitesinde konuyla ilgili kamuya açık yorumlar bırakılarak oluşturuldu. Bir cazibe olarak, saldırganlar web sitesinde çalınan görüntüler hakkında iddialarda bulundular. Bu “şikayetler”, kullanıcıyı kötü amaçlı bir ISO dosyasını indirmeye yönlendiren bir açılış sayfasına bağlantı içeriyordu.
Kaynak: Proofpoint
Araştırmacılar, “Bumblebee’nin birden fazla tehdit aktörü tarafından kullanılması, ortama giriş zamanlaması ve bu raporda açıklanan davranışlar, siber suç tehdidi ortamında kayda değer bir değişiklik olarak kabul edilebilir.” “Proofpoint, Bumblebee kullanan tüm izlenen tehdit aktörlerinin aynı kaynaktan aldığını kötü amaçlı yazılım eserlerine dayalı olarak yüksek bir güvenle değerlendirir.”
Kuruluşlar kendilerini korumak için zamanında yama ve güçlü parola/çok faktörlü kimlik doğrulama kullanımı gibi temel güvenlik hijyenini desteklemeli ve ayrıca e-posta kaynaklı tehditler ve yaygın sosyal mühendislik hileleri konusunda farkındalık yaratmak için çalışanlarla birlikte çalışmalıdır.
Kötü Amaçlı Yazılım Analizi: Bu, Bumbler Değildir
Proofpoint, Bumblebee’nin yeni ve hala aktif olarak geliştirilme aşamasında olduğunu, ancak şimdiden kuruluşların dikkat etmesi gereken karmaşık bir tehdit olduğu konusunda uyardı.
Yükleyici kurulduktan sonra sistem bilgilerini toplar ve bir “istemci kimliği” oluşturur. Daha sonra C2 ile bağlantı kurar (adres(ler) düz metin olarak saklanır) ve komutları almak için rastgele saniye aralıklarla kontrol eder.
Bumblebee aşağıdaki komutları destekler:
- Shi: kabuk kodu enjeksiyonu
- Dij: DLL enjeksiyonu
- Dex: Yürütülebilir dosyayı indirin
- Sdl: yükleyiciyi kaldır
- Ins: botta kalıcılığı etkinleştir
Özellikle, korumalı alan ve sanal makine farkındalığı, ağ iletişimlerine bir şifreleme katmanı eklenmesi ve kötü amaçlı yazılım analistleri tarafından kullanılan sabit kodlanmış bir ortak araçlar listesine karşı mevcut çalışan süreçlerin kontrolü dahil olmak üzere güçlü anti-analiz ve kaçınma taktikleri içerir.
“Bumblebee yükleyicinin suç yazılımı tehdidi ortamına tanıtılması ve görünüşe göre BazaLoader’ın yerini alması, tehdit aktörlerinin hızla değiştirmek zorunda oldukları esnekliği gösteriyor. [tactics, techniques, and procedures] Proofpoint’te tehdit araştırma ve algılamadan sorumlu başkan yardımcısı Sherrod DeGrippo, “Ayrıca, kötü amaçlı yazılım oldukça karmaşık ve sürekli, aktif bir geliştirme içinde olduğunu ve tespitten kaçınmanın yeni yöntemlerini tanıttığını gösteriyor” diyor.