Bumblebee adı verilen yeni keşfedilen bir kötü amaçlı yazılım yükleyici, fidye yazılımı yükleri sunmak için kullanılan Bazarloader Backdoor'un yerini almak üzere tasarlanmış Conti Sendikası'nın en son gelişimidir.
Araştırmacılar, Bumblebee'nin kimlik avı kampanyalarında Mart ayında ortaya çıkmasının, dosya telafi edici kötü amaçlı yazılımlar sunmak için Bazarloader'ın kullanılmasında bir düşüşle denk geldiğini söylüyor.
Bazarloader, fidye yazılımı saldırıları için kurban ağlarına erişim sağlayan Trickbot Botnet geliştiricilerinin çalışmasıdır. Trickbot Gang şimdi Conti Sendikası için çalışıyor.
Mart ayında, Conti ve Diavol fidye yazılımı operasyonları için ilk erişim sağlayan 'egzotik zambak' olarak izlenen bir tehdit oyuncusu hakkında bir raporda, Google'ın Tehdit Analiz Grubu, aktörün kobalt grevini sunmak için normal Bazar yükleyici kötü amaçlı yazılım yerine bombus arısı bırakmaya başladığını söylüyor. .
Eli Salem, Cybereason'daki baş tehdit avcısı ve kötü amaçlı yazılım ters mühendisi, bumblebee için dağıtım tekniklerinin, her ikisi de Conti fidye yazılımlarını dağıtan Bazarloader ve buzlu ile aynı olduğunu söylüyor.
Proofpoint, Salem’in, “Bumblebee'nin daha önce Bazaloader ve Icedid'i teslim etmeyi gözlemlemesi” için kullanıldığı kimlik avı kampanyalarını gözlemlediklerini söyleyerek teyit ediyor.
"Bumblebee kullanan tehdit aktörleri, takip eden fidye yazılımı kampanyalarına bağlı kötü amaçlı yazılım yükleri ile ilişkilidir" - Proofpoint
Şirket ayrıca, “kötü amaçlı yazılım kampanyalarında tipik olarak Bazaload kullanan birkaç tehdit aktörünün bumblebee'ye geçtiğini” ve Shellcode'u ve Kırmızı Takım Güvenliği Değerlendirmesi için tasarlanmış kobalt grev, şeridi ve metre petrol çerçevelerini bırakmak için not ediyor.
Aynı zamanda Bazaloader, Şubat ayından bu yana Proofpoint'in verilerinden eksik.
Bugünkü bir raporda Proofpoint, kısayol ve DLL dosyaları içeren ISO ekleri içinde bumblebee dağıtan birden fazla e -posta kampanyası gözlemlediğini söylüyor.
Bir kampanya, Microsoft’un OneDrive Bulut Depolama Hizmetinde barındırılan kötü niyetli ISO kapsayıcısına sahip bir ZIP arşivine yol açan bir DocUSIGN belge cazibesinden yararlandı.
Araştırmacılar, kötü niyetli e -postanın ayrıca ücretsiz bir faturaya e -posta olarak görünen bir HTML eki içerdiğini söylüyor.
HTML dosyasına gömülü URL, kurbanın saat dilimine ve çerezlerine göre indirmeleri filtreleyen Prometheus TDS'ye (trafik dağıtım hizmeti) dayanan bir yönlendirme hizmeti kullandı. Son hedef aynı zamanda OneDrive'da barındırılan kötü niyetli ISO idi.
Proofpoint araştırmacıları bu kampanyayı siber suçlu TA579'a yüksek güvenle ilişkilendirdi. Proofpoint, Ağustos 2021'den bu yana TA579'u izledi. Bu aktör, geçmiş kampanyalarda sık sık Bazaloader ve Icedid'i teslim etti
Mart ayında Proofpoint, bir hedefin web sitesindeki iletişim formları aracılığıyla bumblebee teslim eden bir kampanya gözlemledi. Mesajlar, web sitesinin çalıntı görüntüler kullandığını ve sonuçta kötü amaçlı yazılım içeren bir ISO dosyası sunan bir bağlantı içerdiğini iddia etti.
Proofpoint, bu kampanyayı şirketin Mayıs 2020'den beri TA578 olarak izlediği başka bir tehdit oyuncusu ile ilişkilendirir ve Ursnif, Iciced, KPOT Stealer, Buer Loader ve Bazaloader ve Cobalt Strike gibi kötü amaçlı yazılımlar sunmak için e -posta kampanyalarını kullanır.
Araştırmacılar, Nisan ayında, arşivlenmiş bir ISO eki ile hedefe yanıt olarak Bumblebee kötü amaçlı yazılım yükleyicisini sunmak için e -posta iş parçacıklarını kaçırdığı başka bir kampanya tespit ettiler.
İnkar edilemez kanıt bulamamasına rağmen, Proofpoint, bumblebee konuşlandıran tehdit aktörlerinin fidye yazılımı aktörleriyle çalışan ilk ağ erişim brokerleri olduğuna inanmaktadır.
Araştırmacılar, Bumblebee'nin karmaşık ayrıntılı kaçırma tekniklerini ve karmaşık anti-sanallaştırma yöntemlerini içeren anti-analiz hilelerini entegre eden “yeni, son derece sofistike bir kötü amaçlı yazılım yükleyici” olduğu konusunda hemfikir.
Perşembe günü teknik bir analizde Eli Salem, Bumblebee’nin yazarlarının halka açık Al-Khaser POC ‘kötü amaçlı yazılım uygulamasından tüm anti-analiz kodunu kullandığını gösteriyor.
Salem’in kod incelemesi, kötü amaçlı yazılımın dinamik ve statik analiz için birden fazla araç aradığını, süreçlerini arayarak “her türlü sanallaştırma ortamını” tespit etmeye çalıştığını ve kayıt defteri anahtarlarını ve dosya yollarını kontrol ettiğini ortaya koydu.
Araştırmacı, Bumblebee’nin çekirdek yükleyici bileşeninde bulduğu en ilginç şeylerden birinin, mütevelli heyetinin kimlik bilgileri gibi hassas verileri korumak için Rapportgp.dll adlı iki 32/64 bit DLL dosyasının varlığı olduğunu belirtiyor.
Ayrı teknik analizinde Proofpoint, Bumblebee Loader'ın aşağıdaki komutları desteklediğini buldu:
Siber Güvenlik Şirketleri Proofpoint ve Cybereason'daki kötü amaçlı yazılım araştırmacıları Bumblebee'yi analiz ettiler ve kodda hile bot kötü amaçlı yazılım, teslimat yöntemleri ve düşürülen yükler ile benzerlikler fark ettiler.
Salem, her iki kötü amaçlı yazılım parçasının kancalar için aynı kurulum mekanizmasına güvendiğini gördükten sonra Bumblebee ile hilebot arasında bir bağlantı kurdu.
Bumblebee, Rapportgp.dll için aynı kaçış tekniğini web enjekte modülü için hilebot ile kullandığı için benzerlikler daha da ileri gidiyor.
Ayrıca, her iki kötü amaçlı yazılım parçası da yük ışığı kullanmaya ve kancalamak istedikleri işlevin adresini almaya çalışıyor.
Salem, Bumblebee ve Trickbot'un aynı yazarın sahip olduğunu söyleyecek yeterli kanıt olmasa da, Bumblebee’nin geliştiricisinin Trickbot’un Web enjekte modülü için kaynak koduna sahip olduğunu varsaymak mantıklı olduğunu söylüyor.
Bumblebee aktif olarak geliştirilir ve her güncellemede yeni yetenekler kazanır. Gözlenen en son bir prova noktası 19 Nisan'dan itibarendir ve birden fazla komut ve kontrol (C2) sunucusunu destekler.
Bununla birlikte, Proofpoint, en önemli geliştirmenin, istekleri şifrelemek ve C2'den yanıtları çözmek için sert kodlanmış bir anahtar kullanan ağ iletişimi için RC4 Stream Cipher aracılığıyla bir şifreleme katmanı eklenmesi olduğunu söylüyor.
Başka bir değişiklik, 22 Nisan'da araştırmacıların Bumblebee'nin kötü amaçlı yazılım analistleri tarafından kullanılan ortak araçları sabit kodlu bir listeye karşı kontrol eden bir iş parçacığını entegre ettiğini fark ettikleri zaman ortaya çıktı.
Proofpoint, Bumblebee'nin daha sonra fidye yazılımı gibi diğer yükleri dağıtmak için kurban ağlarına ilk erişim için kullanılabilecek çok işlevli bir araç olduğuna inanıyor.
Proofpoint'te Tehdit Araştırma ve Tespit Başkan Yardımcısı Sherrod Degrippo, “Kötü amaçlı yazılım oldukça sofistike ve kaçınma için yeni, aktif gelişmede olduğunu gösteriyor” diyor.
Cybereason'un Eli Salem ve Proofpoint'inden gelen raporlar [1, 2] bir gün ayrıldı ve Bumblebee kötü amaçlı yazılımların en önemli yönlerinin ayrıntılı bir teknik analizini içeriyor.
Bazarbackdoor kötü amaçlı yazılımları yaymak için kullanılan kurumsal web sitesi iletişim formları
New Diavol Fidye Yazılımına Bağlı Hile Bot Siber Suç Grubu
Kuantum fidye yazılımı hızlı ağ saldırılarında konuşlandırıldı
Ransomware'de Hafta - 15 Nisan 2022 - Rusya'yı Şifreleme
Karakurt, Conti Siber Sendikanın Veri Gasar Kolu olarak ortaya çıktı
Kaynak: Bleeping Computer