El cargador de malware conocido como Bumblebee está siendo cooptado cada vez más por actores de amenazas asociados con BazarLoader, TrickBot e IcedID en sus campañas para violar redes objetivo para actividades posteriores a la explotación.
«Los operadores de Bumblebee realizan actividades de reconocimiento intensivas y redirigen la salida de los comandos ejecutados a archivos para su exfiltración», los investigadores de Cybereason Meroujan Antonyan y Alon Laufer. dijo en un informe técnico.
Bumblebee salió a la luz por primera vez en marzo de 2022 cuando el Grupo de análisis de amenazas (TAG) de Google desenmascaró las actividades de un corredor de acceso inicial denominado Exotic Lily con vínculos con TrickBot y los colectivos más grandes de Conti.
Normalmente entregado a través del acceso inicial adquirido a través de campañas de phishing, el modus operandi se ha modificado desde entonces al evitar documentos con macros en favor de archivos ISO y LNK, principalmente en respuesta a la decisión de Microsoft de bloquear las macros de forma predeterminada.
«La distribución del malware se realiza mediante correos electrónicos de phishing con un archivo adjunto o un enlace a un archivo malicioso que contiene Bumblebee», dijeron los investigadores. «La ejecución inicial se basa en la ejecución del usuario final que tiene que extraer el archivo, montar un archivo de imagen ISO y hacer clic en un archivo de acceso directo de Windows (LNK)».
El archivo LNK, por su parte, contiene el comando para iniciar el cargador Bumblebee, que luego se utiliza como conducto para las acciones de la siguiente etapa, como la persistencia, la escalada de privilegios, el reconocimiento y el robo de credenciales.
También se empleó durante el ataque el marco de simulación del adversario Cobalt Strike al obtener privilegios elevados en los puntos finales infectados, lo que permite que el actor de amenazas se mueva lateralmente a través de la red. La persistencia se logra implementando el software de escritorio remoto AnyDesk.
En el incidente analizado por Cybereason, las credenciales robadas de un usuario altamente privilegiado fueron utilizadas posteriormente para tomar el control de la Directorio Activosin mencionar la creación de una cuenta de usuario local para la exfiltración de datos.
«El tiempo que pasó entre el acceso inicial y el compromiso de Active Directory fue menos de dos días», dijo la firma de ciberseguridad. «Los ataques que involucran a Bumblebee deben tratarse como críticos, […] y este cargador es conocido por la entrega de ransomware».