Kötü şöhretli kötü amaçlı yazılım yükleyicisi ve ilk erişim aracısı yaban arısı Şubat 2024’te gözlemlenen yeni bir kimlik avı kampanyası kapsamında dört aylık bir aradan sonra yeniden ortaya çıktı.
Kurumsal güvenlik firması Proofpoint, etkinliğin ABD’deki kuruluşları, OneDrive URL’lerine bağlantılar içeren sesli posta temalı yemlerle hedeflediğini söyledi.
Şirket, “URL’ler, ‘ReleaseEvans#96.docm’ (dosya uzantısından önceki rakamlar değişiyor) gibi adlara sahip bir Word dosyasına yönlendirdi” dedi. söz konusu Salı günü yayınlanan bir raporda. “Word belgesi tüketici elektroniği şirketi Humane’i yanılttı.”
Belgenin açılması, uzak bir sunucudan başka bir PowerShell betiğini indirip yürütmek üzere bir PowerShell komutunu başlatmak için VBA makrolarından yararlanır ve bu komut da Bumblebee yükleyicisini alır ve çalıştırır.
İlk olarak Mart 2022’de tespit edilen Bumblebee, esas olarak fidye yazılımı gibi devam eden yükleri indirip yürütmek için tasarlandı. Daha önce BazaLoader (diğer adıyla BazarLoader) ve IcedID’yi dağıttığını gözlemleyen çok sayıda suç yazılımı tehdidi aktörü tarafından kullanılmaya başlandı.
Ayrıca tehdit aktörleri Conti ve TrickBot siber suç örgütü tarafından BazarLoader’ın yerine geçecek şekilde geliştirildiğinden de şüpheleniliyor. Eylül 2023’te Intel 471, yükleyiciyi dağıtmak için Web Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) sunucularını kullanan bir Bumblebee dağıtım kampanyasını açıkladı.
Saldırı zinciri, özellikle Microsoft’un Temmuz 2022’den itibaren internetten indirilen Office dosyalarındaki makroları varsayılan olarak engellemeye başladığı ve tehdit aktörlerinin yaklaşımlarını değiştirmesine ve çeşitlendirmesine yol açtığı göz önüne alındığında, saldırı zincirindeki makro özellikli belgelere olan bağımlılığıyla dikkat çekiyor.
Makro tabanlı saldırı, kimlik avı e-postalarının Bumblebee yürütülebilir dosyalarını içeren sıkıştırılmış LNK dosyalarıyla veya CVE-2023 olarak izlenen WinRAR kusurundan yararlanan bir RAR dosyasını bırakmak için HTML kaçakçılığından yararlanan HTML ekleriyle geldiği ara öncesi kampanyalarından da önemli ölçüde farklıdır. -38831 yükleyiciyi yüklemek için.
Bumblebee’nin dönüşü aynı zamanda QakBot, ZLoader ve PikaBot’un yeni çeşitlerinin yeniden ortaya çıkmasıyla aynı zamana denk geliyor ve QakBot örnekleri Microsoft Yazılım Yükleyici (MSI) dosyaları biçiminde dağıtılıyor.
Siber güvenlik firması Sophos, “.MSI, bir Windows .cab (Cabinet) arşivi bırakıyor ve bu arşiv de bir DLL içeriyor” dedi söz konusu Mastodon’da. “.MSI, DLL’yi .cab’den çıkarır ve kabuk kodunu kullanarak çalıştırır. Kabuk kodu, DLL’nin kendisinin ikinci bir kopyasını oluşturmasına ve bot kodunu ikinci örneğin bellek alanına enjekte etmesine neden olur.”
En yeni QakBot eserlerinin, dizeleri ve diğer bilgileri gizlemek için kullanılan şifrelemeyi sertleştirdiği, DaveCrypter adlı şifreleyici kötü amaçlı yazılımın kullanılması da dahil olmak üzere, analiz etmeyi daha da zorlaştırdığı keşfedildi. Yeni nesil aynı zamanda kötü amaçlı yazılımın sanal makinede mi yoksa korumalı alanda mı çalıştığını tespit etme yeteneğini de yeniden etkinleştiriyor.
Bir diğer önemli değişiklik, kötü amaçlı yazılım ile komuta ve kontrol (C2) sunucusu arasındaki tüm iletişimin, Ağustos 2023’ün sonlarında QakBot’un altyapısının sökülmesinden önceki sürümlerde kullanılandan daha güçlü bir yöntem olan AES-256 kullanılarak şifrelenmesini içeriyor.
Baş araştırmacı Andrew Brandt, “QakBot botnet altyapısının ortadan kaldırılması bir zaferdi, ancak botun yaratıcıları hâlâ özgür ve QakBot’un orijinal kaynak koduna erişimi olan biri yeni yapılar üzerinde deneyler yapıyor ve bu en yeni varyantlarla suları test ediyor.” Sophos X-Ops’ta dedi.
“En dikkate değer değişikliklerden biri, botun, bota sabit kodlanmış varsayılan yapılandırmaları gizlemek için kullandığı şifreleme algoritmasında yapılan bir değişikliği içerir; bu da analistlerin kötü amaçlı yazılımın nasıl çalıştığını görmesini zorlaştırır; saldırganlar ayrıca daha önce kullanımdan kaldırılan aşağıdaki özellikleri de geri yüklüyor: sanal makine (VM) farkındalığını artırıyor ve bunları bu yeni sürümlerde test ediyoruz.”
QakBot aynı zamanda şu şekilde ortaya çıktı: ikinci en yaygın kötü amaçlı yazılım Ocak 2024’te FakeUpdates’in (diğer adıyla SocGholish) arkasında ancak Formbook, Nanocore, AsyncRAT, Remcos RAT ve Agent Tesla gibi diğer ailelerin önünde yer alıyor.
Gelişme Malwarebytes olarak geliyor açıklığa kavuşmuş Barclays gibi finansal kurumları taklit eden kimlik avı sitelerinin potansiyel hedefleri kandırarak AnyDesk gibi yasal uzak masaüstü yazılımlarını indirmelerini sağlayarak var olmayan sorunları sözde çözdüğü ve sonuçta tehdit aktörlerinin makinenin kontrolünü ele geçirmesine olanak tanıdığı yeni bir kampanya.
