Bumblebee kötü amaçlı yazılım, dört aylık bir tatilden sonra geri döndü ve Amerika Birleşik Devletleri'ndeki binlerce kuruluşu kimlik avı kampanyalarında hedef aldı.
Bumblebee, Nisan 2022'de keşfedilen bir kötü amaçlı yazılım yükleyicidir ve Bazarloader Backdoor'un yerine Conti ve Trickbot siber suç sendikası tarafından geliştirildiğine inanılmaktadır.
Kötü amaçlı yazılımlar, ilk ağ erişimi ve fidye yazılımı saldırıları yapmak için Cobalt Strike Beacons gibi enfekte olmuş cihazlara ek yükler bırakmak için kimlik avı kampanyalarına yaygın olarak dağıtılır.
Proofpoint tarafından gözlemlenen yeni bir kötü amaçlı yazılım kampanyasında, Ekim ayından bu yana Bumblebee'nin geri dönüşü, 2024'e giderken siber suç faaliyetlerinde daha geniş bir artışa yol açabileceğinden önemlidir.
Bumblebee'yi iten yeni kimlik avı kampanyası, "Sesli Posta Şubat" konusunu kullanan ve ABD'deki binlerce organizasyona "info@carzlessa [.] Com."
E-postalar, "Releaseevans#96.docm" adlı bir kelime belgesini indiren bir OneDrive URL'si içerir, AI destekli PIN ile bilinen tüketici elektronik şirketi Hu.ma.ne'den geliyormuş gibi bir cazibeyle.
Kötü niyetli belge, Windows temp klasöründe bir komut dosyası dosyası oluşturmak için makrolar kullanır ve ardından "WScript" kullanarak bırakılan dosyayı yürütür.
Bu geçici dosya, bir sonraki aşamayı uzak bir sunucudan getiren ve yürüten bir PowerShell komutu içerir, bu da sonunda kurbanın sisteminde Bumblebee DLL'yi (W_VER.DLL) indirir ve başlatır.
Proofpoint, Microsoft'un 2022'de varsayılan olarak makroları bloke etme kararını takiben belgelerde VBA makrolarının kullanılmasının, kampanyanın çok başarılı olmasını zorlaştırdığını gösteren dikkate değer ve olağandışı olduğunu yorumlıyor.
Önceki Bumblebee kampanyaları, doğrudan DLL indirmeleri, HTML kaçakçılığı ve son yükü sağlamak için CVE-2023-38831 gibi güvenlik açıklarının kullanılması gibi yöntemler kullanıldı, böylece mevcut saldırı zinciri daha modern tekniklerden önemli bir ayrılmayı temsil ediyor.
Bunun için olası açıklamalar, kötü niyetli VBA'ların artık daha az yaygın veya ciddi modası geçmiş sistemlere yönelik niş/dar hedefleme olduğu için kaçırma dahildir. Ek olarak, Bumblebee dağıtım yöntemlerini test ediyor ve çeşitlendiriyor olabilir.
Proofpoint, Bumblebee'nin geçmiş kampanyalarda makro yüklü belgeleri denediğini, ancak bu vakalar kaydedilen toplamın (230 kampanyalar) sadece% 4.3'üne karşılık geldiğini söylüyor.
Bumblebee'nin molasından önce, kötü amaçlı yazılımdaki son dikkate değer gelişme, kötü amaçlı yazılımın blok listelerden kaçmak için 4shared WebDAV hizmetlerinin kötüye kullanılmasına dayanan yeni bir dağıtım tekniği kullandığı Eylül 2023'teydi.
Bumblebee genellikle başlangıç erişim aşamasını atlamak ve yüklerini zaten ihlal edilmiş sistemlere tanıtmak isteyen siber suçlulara kiralanır.
Proofpoint, son kampanyayı belirli bir tehdit gruplarına atfetmek için yeterli kanıt olmadığını söylüyor. Ancak araştırmacılar, kampanyanın TA579 olarak izledikleri tehdit aktörlerinin ayırt edici özelliklerini taşıdığını söylüyor.
Proofpoint'e göre, yakın zamanda faaliyetlerinde yeniden canlanan diğer tehdit aktörleri arasında TA576, TA866, TA582 ve TA2541 yer alıyor.
Kolluk yetkililerinin QBOT'un (Qakbot) bozulması, yük dağıtım piyasasında diğer kötü amaçlı yazılımların doldurmaya çalıştığı bir boşluk yarattı.
Dikkate değer vakalar arasında, şimdi kimlik avı, kötüverizasyon ve Skype ve Microsoft ekiplerindeki mesajlar dahil olmak üzere birden fazla kanal aracılığıyla enfeksiyonları yönlendiren iki yüksek yetenekli kötü amaçlı yazılım yükleyicisi olan Darkgate ve Pikabot yer alıyor.
Zscaler dün Pikabot hakkında bir rapor yayınladı ve kötü amaçlı yazılımların geçen yıl Noel'den sonra kısa bir arayışın ardından bu ay yeni, basitleştirilmiş bir versiyonla yeniden ortaya çıktığını belirtti.
Yeni Pikabot sürümü, daha önce kullanılan gelişmiş kod gizleme tekniklerini çıkardı ve daha az çok yönlü bir yapılandırma sistemi kullanıyor, bu nedenle yenilenmiş bir varyantın erken sürümü gibi görünüyor.
Devam Eden Microsoft Azure Hesabı Kaçırma Kampanyası Yöneticileri
Apple’ın App Store'da Fakt LastPass Parola Yöneticisi
Fransız Sağlık Hizmetleri Firmasında Veri İhlali Milyonları Milyonları Riske Edin
Microsoft Teams Kimlik avı Darkgate kötü amaçlı yazılımları grup sohbetleri yoluyla iter
"Gittiğine İnanamıyorum" Facebook Kimlik Yardımı Mesajları
Kaynak: Bleeping Computer