Gelişmiş Bumblebee yükleyicisi, dört aylık bir aradan sonra ABD’deki binlerce kuruluşu hedef alan yeni bir e-posta kampanyasıyla tehdit ortamı kovanına geri döndü.
Bumblebee, birden fazla siber suçlu grubunun kullandığı bir ilk erişim yükleyicisidir. çeşitli yükler bilgi hırsızları, bankacılık Truva atları ve uzlaşma sonrası araçlar gibi sahneye çıktı Mart 2022’de. Geçtiğimiz Ekim ayına kadar, tehdit aktörleri tercih edilen bir kötü amaçlı yazılım yükleyicisi olarak ağırlıklı olarak bu yazılıma güveniyordu ve daha sonra araştırmacıların radarından kayboldu.
Yükleyici, bu ay Proofpoint Tehdit Araştırma Ekibi tarafından gözlemlenen bir kampanyaya geri döndü. bir blog yazısına Salı günü yayınlandı. Kampanyada, “info@quarlesaa” göndereni tarafından gönderilen, “Şubat Sesli Mesajı” konulu binlerce e-posta kullanılmaktadır.[.]com” ve kötü amaçlı Microsoft OneDrive URL’leri içeriyor.
Bu URL’ler, tüketici elektroniği şirketi Humane’yi taklit eden “ReleaseEvans#96.docm” gibi adlara sahip bir Word dosyasına yönlendiriyor. Araştırmacılar, saldırı vektörünün daha fazla kötü amaçlı aktiviteye giriş olarak Bumblebee DLL dosyasını indirip çalıştırmak için sonunda bir PowerShell komutunu kullandığını buldu.
Proofpoint araştırmacıları, yükleyicinin geri dönüşünün gelecek şeylerin habercisi olduğunu, çünkü bunun “birçok tehdit aktörü ve kötü amaçlı yazılımın yokluğundan sonra siber suç tehdit faaliyetlerindeki artışla uyumlu olduğunu” belirtti.
Araştırmacılar, 2024 yılının “siber suçlu tehdit aktörleri için bir patlamayla başladığını ve faaliyetlerin geçici bir kış durgunluğunun ardından çok yüksek seviyelere geri döndüğünü” söyledi. “Proofpoint araştırmacıları yeni, yaratıcı saldırı zincirlerini, tespitleri aşma girişimlerini ve birçok tehdit aktörü ile ilişkilendirilmemiş tehdit kümesinden gelen güncellenmiş kötü amaçlı yazılımları gözlemlemeye devam ediyor” ve bu hareketliliğin yaza kadar devam etmesini beklediklerini de sözlerine ekledi.
Bir aradan sonra eyleme dönen diğer kötü niyetli gruplar arasında araştırmacıların sömürü sonrası operatör TA582 olarak takip ettiği gruplar yer alıyor; havacılık ve uzay hedefleme aktör TA2541; ve TA571 tarafından sunulan e-posta kampanyaları Karanlık Kapı kötü amaçlı yazılım, diğerleri arasında.
Bumblebee Zararlı Yazılımının Yeni ve Dikkate Değer Uçuş Yolu
Kampanyayı Bumblebee kullanılarak yapılan önceki saldırılardan ayıran birkaç önemli nokta var. Örneğin kampanya, bugünlerde nadiren kullanılan bir taktik olan VBA makro özellikli belgeleri kullanıyor tehdit aktörleri tarafından Microsoft’tan beri makroları engellemeye başladı Araştırmacılar, 2022’de varsayılan olarak kötü amaçlı etkinlikleri engellemek için bu özelliğin kullanılacağını söyledi.
En son kampanyada, Word belgesi, Windows geçici dizininde bir komut dosyası oluşturmak için makroları kullandı ve makro daha sonra “wscript” yardımcı programını kullanarak bu komut dosyasını çalıştırdı. Bırakılan geçici dosyanın içinde, bir sonraki aşamayı uzak bir sunucudan indirip çalıştıran ve “update_ver” adlı bir dosyada saklanan bir PowerShell komutu vardı. Sonraki aşama, Bumblebee DLL’sini indirip çalıştıran başka bir PowerShell komutuydu.
Araştırmacılar, ilginç bir şekilde Bumblebee’nin ara öncesi kampanyalarında kullanılan saldırı zincirlerinin önemli ölçüde farklı olduğunu belirtti. Önceki kampanyalar, yürütüldüğü takdirde Bumblebee’yi başlatan bir DLL dosyasının indirilmesine yol açan URL’leri içeren e-postalar gönderiyordu; veya e-postalar HTML ekleri içeriyordu. HTML kaçakçılığı yürütüldüğü takdirde RAR dosyasını kötüye kullanan bir RAR dosyasını bırakmak için WinRAR kusuru CVE-2023-38831 Bumblebee’yi yüklemek için.
Önceki diğer Bumblebee kampanyaları, çalıştırıldığında yükleyiciyi indirmek ve yürütmek için PowerShell’i kullanan sıkıştırılmış, parola korumalı VBS eklerine sahip e-postalardan veya Bumblebee’yi başlatan yürütülebilir bir dosyayı indirmek için sıkıştırılmış LNK dosyaları içeren e-postalardan yararlanıyordu.
Araştırmacılara göre “Mart 2022’den bu yana tespit edilen yaklaşık 230 Bumblebee kampanyasından yalnızca beşi makro yüklü içerik kullandı; dört kampanyada XL4 makroları ve bir kampanyada ise VBA makroları kullanıldı.”
Savunmacılar Dikkat Edin
Proofpoint son Bumblebee kampanyasını takip edilen herhangi bir tehdit aktörüne bağlamasa da OneDrive URL’lerinin ve gönderen adresinin kullanımı önceki TA579 etkinlikleriyle uyumlu görünüyor. Ancak firma, tehdit avına yardımcı olmak için bir uzlaşma göstergeleri (IoC) listesi ekledi.
Araştırmacılar ayrıca kuruluşlara yukarıda belirtilen kötü amaçlı e-posta kampanyalarının ayırt edici özellikleri konusunda tetikte olmaları çağrısında bulundu ve Bumblebee’nin fidye yazılımı gibi devam eden yükleri iletmek için ilk erişim kolaylaştırıcısı olarak kullanıldığını “yüksek güvenle” değerlendirdiklerini söyledi. “
Kuruluşlar aynı zamanda kötü niyetli e-posta kampanyalarından ödün verilmesini önlemek için, çalışanların kimlik avı ve diğer hedefli dolandırıcılıkları tespit etmelerine yardımcı olmak için çalışan eğitimi vermek ve şüpheli mesajları çalışanların gelen kutularına ulaşmadan önce işaretleyen e-posta güvenliği tarama yazılımını uygulamak gibi temel güvenlik en iyi uygulamalarını da kullanabilir.