Bumblebee olarak bilinen kötü amaçlı yazılım yükleyici, istismar sonrası faaliyetler için hedef ağları ihlal etmek için kampanyalarında BazarLoader, TrickBot ve IcedID ile ilişkili tehdit aktörleri tarafından giderek daha fazla tercih ediliyor.
Cybereason araştırmacıları Meroujan Antonyan ve Alon Laufer, “Bumblebee operatörleri yoğun keşif faaliyetleri yürütüyor ve yürütülen komutların çıktısını sızma için dosyalara yönlendiriyor.” söz konusu teknik bir yazımda.
Bumblebee ilk olarak Mart 2022’de Google’ın Tehdit Analizi Grubu’nun (TAG), TrickBot ve daha büyük Conti kolektifleriyle bağları olan Exotic Lily adlı bir ilk erişim komisyoncusunun faaliyetlerini ortaya çıkardığında ortaya çıktı.
Tipik olarak, hedefli kimlik avı kampanyaları yoluyla elde edilen ilk erişim yoluyla sağlanan modus operandi, o zamandan beri, öncelikle Microsoft’un makroları varsayılan olarak engelleme kararına yanıt olarak, ISO ve LNK dosyaları lehine makro bağlı belgelerden kaçınılarak düzeltildi.
Araştırmacılar, “Kötü amaçlı yazılımın dağıtımı, ekli veya Bumblebee içeren kötü amaçlı bir arşive bağlantı içeren kimlik avı e-postaları ile yapılır.” Dedi. “İlk yürütme, arşivi çıkarmak, bir ISO görüntü dosyası yerleştirmek ve bir Windows kısayol (LNK) dosyasını tıklatmak zorunda olan son kullanıcı yürütmesine dayanır.”
LNK dosyası, kendi adına, Bumblebee yükleyicisini başlatma komutunu içerir; bu, daha sonra kalıcılık, ayrıcalık yükseltme, keşif ve kimlik bilgisi hırsızlığı gibi sonraki aşama eylemleri için bir kanal olarak kullanılır.
Saldırı sırasında ayrıca, virüslü uç noktalarda yükseltilmiş ayrıcalıklar kazanarak tehdit aktörünün ağ üzerinde yanlamasına hareket etmesini sağlayan Cobalt Strike düşman simülasyon çerçevesi de kullanılır. Kalıcılık, AnyDesk uzak masaüstü yazılımı dağıtılarak elde edilir.
Cybereason tarafından analiz edilen olayda, yüksek ayrıcalıklı bir kullanıcının çalınan kimlik bilgileri, daha sonra kontrolü ele geçirmek için kullanıldı. Aktif Dizinveri hırsızlığı için yerel bir kullanıcı hesabı oluşturmadan bahsetmiyorum bile.
Siber güvenlik firması, “İlk erişim ile Active Directory güvenliği arasında geçen süre iki günden azdı” dedi. “Bumblebee’yi içeren saldırılar kritik olarak ele alınmalıdır, […] ve bu yükleyici, fidye yazılımı teslimi ile tanınır.”
