El cargador de malware conocido como Bumblebee est\u00e1 siendo cooptado cada vez m\u00e1s por actores de amenazas asociados con BazarLoader, TrickBot e IcedID en sus campa\u00f1as para violar redes objetivo para actividades posteriores a la explotaci\u00f3n.<\/p>\n
“Los operadores de Bumblebee realizan actividades de reconocimiento intensivas y redirigen la salida de los comandos ejecutados a archivos para su exfiltraci\u00f3n”, los investigadores de Cybereason Meroujan Antonyan y Alon Laufer. dijo<\/a> en un informe t\u00e9cnico.<\/p>\n Bumblebee sali\u00f3 a la luz por primera vez en marzo de 2022 cuando el Grupo de an\u00e1lisis de amenazas (TAG) de Google desenmascar\u00f3 las actividades de un corredor de acceso inicial denominado Exotic Lily con v\u00ednculos con TrickBot y los colectivos m\u00e1s grandes de Conti.<\/p>\n Normalmente entregado a trav\u00e9s del acceso inicial adquirido a trav\u00e9s de campa\u00f1as de phishing, el modus operandi se ha modificado desde entonces al evitar documentos con macros en favor de archivos ISO y LNK, principalmente en respuesta a la decisi\u00f3n de Microsoft de bloquear las macros de forma predeterminada.<\/p>\n “La distribuci\u00f3n del malware se realiza mediante correos electr\u00f3nicos de phishing con un archivo adjunto o un enlace a un archivo malicioso que contiene Bumblebee”, dijeron los investigadores. “La ejecuci\u00f3n inicial se basa en la ejecuci\u00f3n del usuario final que tiene que extraer el archivo, montar un archivo de imagen ISO y hacer clic en un archivo de acceso directo de Windows (LNK)”.<\/p>\n El archivo LNK, por su parte, contiene el comando para iniciar el cargador Bumblebee, que luego se utiliza como conducto para las acciones de la siguiente etapa, como la persistencia, la escalada de privilegios, el reconocimiento y el robo de credenciales.<\/p>\n Tambi\u00e9n se emple\u00f3 durante el ataque el marco de simulaci\u00f3n del adversario Cobalt Strike al obtener privilegios elevados en los puntos finales infectados, lo que permite que el actor de amenazas se mueva lateralmente a trav\u00e9s de la red. La persistencia se logra implementando el software de escritorio remoto AnyDesk.<\/p>\n En el incidente analizado por Cybereason, las credenciales robadas de un usuario altamente privilegiado fueron utilizadas posteriormente para tomar el control de la Directorio Activo<\/a>sin mencionar la creaci\u00f3n de una cuenta de usuario local para la exfiltraci\u00f3n de datos.<\/p>\n “El tiempo que pas\u00f3 entre el acceso inicial y el compromiso de Active Directory fue menos de dos d\u00edas”, dijo la firma de ciberseguridad. “Los ataques que involucran a Bumblebee deben tratarse como cr\u00edticos, […] y este cargador es conocido por la entrega de ransomware”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"Cargador](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660829077_467_Piratas-informaticos-utilizan-Bumblebee-Loader-para-comprometer-los-servicios-de.jpg\" "\\"Cargador")
<\/div>\n![\"Cargador](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660829077_443_Piratas-informaticos-utilizan-Bumblebee-Loader-para-comprometer-los-servicios-de.jpg\" "\\"Cargador")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/Los-ciberdelincuentes-desarrollan-el-malware-BugDrop-para-eludir-las-funciones.png\")
<\/a><\/div>\n