Proofpoint identificeert nieuwe malware loader Bumblebee

proofpoint

Sinds maart 2022 heeft Proofpoint campagnes waargenomen waarbij een nieuwe downloader, genaamd Bumblebee, werd verspreid. Ten minste drie clusters van activiteit, waaronder van bekende cybercriminele groepen, verspreiden momenteel Bumblebee.
 
Bumblebee is een geavanceerde downloader met anti-virtualisatiefuncties en een unieke combinatie van veelgebruikte downloader-mogelijkheden. En dat terwijl het nog een relatief 'jonge' malware is. Het doel van Bumblebee is om extra payloads te downloaden en uit te voeren. Onderzoekers van Proofpoint hebben waargenomen dat Bumblebee onder andere Cobalt Strike, shellcode, Sliver en Meterpreter verspreidt.
 
De toenemende verspreiding van Bumblebee valt samen met de recente verdwijning van BazaLoader, een populaire payload die vervolgaanvallen mogelijk maakt.
 
Details van de campagne
Onderzoekers van Proofpoint hebben waargenomen dat Bumblebee wordt gedistribueerd in e-mailcampagnes door ten minste drie cybercrriminele groepen. Hoewel de berichten, aflevertechnieken en bestandsnamen meestal worden afgestemd op de spelers die de campagnes verspreiden, heeft Proofpoint verschillende overeenkomsten tussen de campagnes waargenomen. Zo werden door meerdere groepen binnen één week ISO-bestanden met snelkoppelingen en DLL's gebruikt, evenals een gemeenschappelijk DLL-ingangspunt.
 
1.        URL's en HTML-bijlagen die naar Bumblebee leiden
In maart observeerde Proofpoint een e-mailcampagne met DocuSign als thema. Deze bevatte twee verschillende manieren om een slachtoffer te verleiden een schadelijk ISO-bestand te downloaden. Bij de eerste manier moest de ontvanger klikken op een "REVIEW THE DOCUMENT"-link in een e-mail. Zodra hierop werd geklikt, werd de gebruiker doorgestuurd naar een gezipt ISO-bestand dat werd gehost op OneDrive.
 
Bij de andere manier bevatte dezelfde e-mail ook een HTML-bijlage. Het geopende HTML-bestand zag eruit als een e-mail met een link naar een onbetaalde factuur. De ingesloten URL in de HTML-bijlage maakte gebruik van een redirect. Hierbij werd de gebruiker doorverwezen naar een gezipt ISO-bestand, dat ook op OneDrive werd gehost.
 
Het ISO-bestand bevatte documenten met de namen "ATTACHME.LNK" en "Attachments.dat". Bij het uitvoeren van het "ATTACHME.LNK"-bestand werd "Attachments.dat" uitgevoerd, dat op zijn beurt de downloader Bumblebee activeerde.
 
Onderzoekers van Proofpoint schrijven deze campagne toe aan de cybercriminele groep TA579. Deze groep verspreidde in het verleden vaak BazaLoader en IcedID.
 
2.        Gezipte ISO-bijlage leidt naar Bumblebee
In april 2022 ontdekte Proofpoint een thread-hijacking campagne met e-mails die leken te verwijzen naar bestaande, legitieme e-mails, alleen bevatten ze schadelijke, gezipte ISO-bijlagen.
 
De gezipte ISO was beveiligd met een wachtwoord en bevatte "DOCUMENT.LNK" en "tar.dll". Het wachtwoord werd gedeeld in de body van de e-mail. De snelkoppeling "DOCUMENT.LNK", indien uitgevoerd, voerde vervolgens "tar.dll" uit om Bumblebee te activeren.
 
3.        Contactformulier leidt naar Bumblebee
In maart 2022 observeerde Proofpoint een campagne waarbij e-mails werden verstuurd door een bericht in te dienen op een contactformulier op de website van het doelwit. Bovendien, afhankelijk van hoe de contactpagina van de website was geconfigureerd, liet de aanvaller ook opmerkingen achter op de site van het doelwit. In de e-mails werd beweerd dat er gestolen afbeeldingen op de website stonden.
 
De "klacht" bevatte een link naar een landingspagina die de gebruiker naar de download van een ISO-bestand met "DOCUMENT_STOLENIMAGES.LNK" en "neqw.dll") leidde. De snelkoppeling voerde "neqw.dll" uit om Bumblebee te activeren.
 
Proofpoint schrijft deze campagne toe aan TA578, een dreigingsgroep die onderzoekers van Proofpoint sinds mei 2020 volgen. TA578 is eerder waargenomen in e-mail-gebaseerde aanvallen die Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, en Cobalt Strike leveren.
 
Verband met andere malware
Het gebruik van Bumblebee door meerdere dreigingsgroepen, de timing en het gedrag, kan worden gezien als een opmerkelijke verandering in het dreigingslandschap. Bovendien acht Proofpoint de kans groot dat de partijen die Bumblebee gebruiken, fungeren als initial access facilitators: onafhankelijke cybercriminele groepen die belangrijke doelwitten infiltreren en vervolgens die toegang verkopen aan ransomware-criminelen.
 
Ten minste drie bekende dreigingsgroepen die normaliter BazaLoader-malware verspreiden, zijn overgestapt op Bumblebee payloads, waarbij BazaLoader in februari 2022 voor het laatst in Proofpoint-data is voorgekomen.
Meer over
Lees ook
WatchGuard’s Internet Security Report onthult nieuwe social-engineeringtrends

WatchGuard’s Internet Security Report onthult nieuwe social-engineeringtrends

Phishers maken in toenemende mate gebruik van browsergebaseerde social-engineeringstrategieën. Daarnaast groeit de malware dat banden heeft met natiestaten. Ook nemen de hoeveelheid zerodaymalware en de zogenaamde ‘living-off-the-land attacks’ toe. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report (ISR).

Qualys Threat Research brengt 2,3 miljard kwetsbaarheden in IT-middelen aan het licht

Qualys Threat Research brengt 2,3 miljard kwetsbaarheden in IT-middelen aan het licht

Qualys detecteerde in 2022 wereldwijd meer dan 2,3 miljard kwetsbaarheden in IT-middelen. Cybercriminelen maken hier steeds opportunistischer en flexibeler misbruik van om succesvolle aanvallen uit te voeren. Dit blijkt uit het 2023 TruRisk Research Report van de Qualys Threat Unit (TRU)

WatchGuard’s Internet Security Report Q4 2022: fikse stijging endpoint-ransomware

WatchGuard’s Internet Security Report Q4 2022: fikse stijging endpoint-ransomware

Versleutelde verbindingen zijn de voorkeursmethode geworden voor het afleveren van malware. Daarnaast blijft malware die verband houdt met phishingcampagnes een aanhoudende bedreiging vormen. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report. Hoewel het onderzoek over het vierde kwartaal van 2022 een afname in1