Bu Mart ayında ilk kez ortaya çıkan, özellikle zararlı bir kötü amaçlı yazılım yükleyicisi olan Bumblebee’nin yeni bir analizi, kurumsal bir ağın parçası olan sistemler için yükünün, bağımsız sistemler için olan yükünden çok farklı olduğunu gösteriyor.
Bir etki alanının parçası gibi görünen sistemlerde – örneğin, aynı Active Directory sunucusunu paylaşabilecek sistemlerde – kötü amaçlı yazılım, Cobalt Strike gibi karmaşık sömürü sonrası araçları bırakmak üzere programlanmıştır. Öte yandan, Bumblebee, bir çalışma grubunun veya eşler arası LAN’ın parçası olan bir makineye indiğini belirlediğinde, yük genellikle bankacılık ve bilgi hırsızları olma eğilimindedir.
Farklı Kötü Amaçlı Yazılım
“Kurbanın coğrafi konumunun kötü amaçlı yazılım davranışı üzerinde herhangi bir etkisi yok gibi görünse de, şunu gözlemledik: çok keskin bir fark Check Point, kötü amaçlı yazılımın yakın tarihli bir analizine dayanan bu haftaki bir raporda, Bumblebee’nin makinelere bulaştıktan sonra davranış biçimi arasında bir fark olduğunu söyledi.
Check Point, “Kurban WORKGROUP’a bağlıysa, çoğu durumda DEX komutunu (İndir ve Yürüt) alır, bu da diskten bir dosya bırakıp çalıştırmasına neden olur” dedi. Ancak, sistem bir AD etki alanına bağlıysa, kötü amaçlı yazılım, Kobalt, Strike, Meterpreter ve Silver gibi gelişmiş yükleri indirmek için Download and Inject (DIJ) veya Download shellcode ve Inject (SHI) komutlarını kullanır.
Check Point’in analizi, araştırmacıların kötü amaçlı yazılımı vahşi doğada ilk kez gözlemlemesinden bu yana geçen altı ay içinde Bumblebee hakkında artan araştırma hacmine katkıda bulunuyor. Kötü amaçlı yazılım birkaç nedenden dolayı dikkat çekti. Bunlardan biri, çoklu tehdit grupları arasında nispeten yaygın kullanımıdır. Nisan 2022’de yapılan bir analizde, Proofpoint araştırmacıları, Conti ve Diavol gibi fidye yazılımları da dahil olmak üzere virüslü sistemlerde farklı ikinci aşama yükler sağlamak için Bumblebee’yi dağıtan en az üç farklı tehdit grubu gözlemlediklerini söyledi. Google’ın tehdit analiz grubu, Bumblebee’yi dağıtan aktörlerden birini ilk erişim komisyoncusu “Egzotik Zambak” olarak takip ediyorlar.
Proofpoint ve diğer güvenlik araştırmacıları, Bumblebee’nin daha önceleri BazaLoader ile ilişkilendirilen tehdit aktörleri tarafından kullanıldığını, diğer şeylerin yanı sıra bir film akışı hizmeti gibi görünen, ancak Şubat 2022’de olay yerinden kaybolan üretken bir kötü amaçlı yazılım yükleyicisi olarak tanımladılar.
Gelişmiş ve Sürekli Gelişen Bir Tehdit
Bumblebee’nin dikkatini çekmesinin bir başka nedeni de güvenlik araştırmacılarının söylediği şey, karmaşıklığı. Sanallaştırma ve sanal alan önleme denetimlerine, şifreli ağ iletişimlerine ve kötü amaçlı yazılım analiz faaliyeti belirtileri için çalışan süreçleri kontrol etme yeteneğine dikkat çektiler. Check Point, diğer birçok kötü amaçlı yazılım aracının aksine, Bumblebee’nin yazarlarının kötü amaçlı yazılımı dağıtırken paketlemek veya maskelemek için özel bir paketleyici kullandığını söyledi.
Tehdit aktörleri, Bumblebee’yi teslim etmek için farklı taktikler kullandı. En yaygın olanı, DLL benzeri ikili dosyayı bir ISO veya VHD – veya disk görüntüsü – dosyalarının içine gömmek ve bunu bir kimlik avı veya hedef odaklı kimlik avı e-postası yoluyla teslim etmektir. Kötü amaçlı yazılım, Microsoft’un daha önceki favori enfeksiyon vektörleri olan Office Makrolarını varsayılan olarak Windows sistemlerinde çalışmasını devre dışı bıraktığından, tehdit aktörlerinin kötü amaçlı yazılım sunmak için kapsayıcı dosyalarını nasıl kullanmaya başladığının bir örneğidir.
Bumblebee’nin sürekli evrimi başka bir endişe noktası olmuştur. Check Point, bu haftaki raporunda, kötü amaçlı yazılımın son birkaç aydır nasıl “sürekli evrim” geçirdiğine dikkat çekti. Örnek olarak, güvenlik sağlayıcısı, yazarlarının ISO’ya geri dönmeden önce bir PowerShell betiği ile ISO dosyalarını kullanmaktan VHD formatındaki dosyalara nasıl kısa bir süre geçtiğine işaret etti. Benzer şekilde, Temmuz başına kadar, Bumblebee’nin komuta ve kontrol sunucuları, aynı kurban IP adresinden yalnızca bir virüslü kurbanı kabul etti. Check Point, “Bu, aynı genel IP ile internete erişen bir kuruluştaki birkaç bilgisayara virüs bulaşmışsa, C2 sunucusunun yalnızca virüslü ilkini kabul edeceği anlamına gelir.” Dedi.
Ancak, kötü amaçlı yazılımın yazarları yakın zamanda bu özelliği kapattı, bu da Bumblebee’nin C2 sunucularının artık aynı ağ üzerinde birden çok virüslü sistemle iletişim kurabileceği anlamına geliyor. Check Point, kötü amaçlı yazılımın yazarlarının başlangıçta yalnızca kötü amaçlı yazılımı test ettiğini ve şimdi bu aşamayı geçtiğini teorileştirdi.
Check Point ve Proofpoint gibi diğer satıcılar, kuruluşların ortamlarındaki tehdidi algılamasına ve engellemesine yardımcı olmak için Bumblebee’nin güvenliği ihlal göstergelerini kullanıma sunmuştur.