0
0
Uma nova análise do Bumblebee, um carregador de malware particularmente pernicioso que apareceu pela primeira vez em março, mostra que sua carga útil para sistemas que fazem parte de uma rede corporativa é muito diferente de sua carga útil para sistemas autônomos.
Em sistemas que parecem fazer parte de um domínio – por exemplo, sistemas que podem compartilhar o mesmo servidor Active Directory – o malware é programado para eliminar ferramentas sofisticadas de pós-exploração, como Cobalt Strike. Por outro lado, quando o Bumblebee determina que pousou em uma máquina que faz parte de um grupo de trabalho – ou LAN ponto a ponto – a carga útil geralmente tende a ser bancos e ladrões de informações.
Diferentes malwares
“Embora a localização geográfica da vítima não pareça ter nenhum efeito no comportamento do malware, observamos uma diferença muito grande entre a maneira como o Bumblebee se comporta após infectar máquinas”, disse a Check Point em um relatório esta semana com base em uma análise recente do malware.
“Se a vítima estiver conectada ao WORKGROUP, na maioria dos casos ela recebe o comando DEX (Download and Execute), que faz com que ela solte e execute um arquivo do disco”, disse a Check Point. No entanto, se o sistema estiver conectado a um domínio AD, o malware usará os comandos Download and Inject (DIJ) ou Download shellcode and Inject (SHI) para baixar cargas úteis avançadas, como Cobalt, Strike, Meterpreter e Silver.
A análise da Check Point aumenta o volume crescente de pesquisas em torno do Bumblebee nos seis meses, aproximadamente, desde que os pesquisadores observaram o malware pela primeira vez. O malware chamou a atenção por vários motivos. Um deles é seu uso relativamente difundido entre vários grupos de ameaças. Em uma análise de abril de 2022, pesquisadores da Proofpoint disseram ter observado pelo menos três grupos de ameaças distintos distribuindo o Bumblebee para entregar diferentes cargas úteis de segundo estágio em sistemas infectados, incluindo ransomware como Conti e Diavol. O grupo de análise de ameaças do Google identificou um dos atores que distribuem o Bumblebee como um corretor de acesso inicial que eles estão rastreando como “Exotic Lily”.
A Proofpoint e outros pesquisadores de segurança descreveram o Bumblebee como sendo usado por agentes de ameaças anteriormente associados ao BazaLoader, um carregador de malware prolífico que, entre outras coisas, se mascarava como um serviço de streaming de filmes , mas que desapareceu de cena em fevereiro de 2022.
Uma ameaça sofisticada e em constante evolução
Outra razão para a atenção que o Bumblebee atraiu é o que os pesquisadores de segurança disseram ser sua sofisticação. Eles apontaram para suas verificações antivirtualização e anti-sandbox, suas comunicações de rede criptografadas e sua capacidade de verificar processos em execução em busca de sinais de atividade de análise de malware. Ao contrário de muitas outras ferramentas de malware, os autores do Bumblebee também usaram um empacotador personalizado para empacotar ou mascarar o malware ao distribuí-lo, disse a Check Point.
Atores de ameaças usaram táticas diferentes para entregar Bumblebee. O mais comum tem sido incorporar o binário tipo DLL dentro de um arquivo ISO ou VHD – ou imagem de disco – e entregá-lo por meio de um e-mail de phishing ou spear-phishing. O malware é um exemplo de como os agentes de ameaças começaram a usar arquivos de contêiner para distribuir malware agora que a Microsoft desativou as macros do Office – seu vetor de infecção favorito anterior – de serem executados por padrão em sistemas Windows.
A constante evolução de Bumblebee tem sido outro ponto de preocupação. Em seu relatório desta semana, a Check Point observou como o malware está em “evolução constante” nos últimos meses. Como exemplo, o fornecedor de segurança apontou como seus autores mudaram brevemente do uso de arquivos ISO para arquivos no formato VHD com um script do PowerShell antes de voltar para ISO. Da mesma forma, até o início de julho, os servidores de comando e controle do Bumblebee aceitavam apenas uma vítima infectada do mesmo endereço IP da vítima. “Isso significa que, se vários computadores de uma organização acessando a Internet com o mesmo IP público forem infectados, o servidor C2 só aceitará o primeiro infectado”, disse a Check Point.
No entanto, os autores do malware recentemente desativaram esse recurso, o que significa que os servidores C2 do Bumblebee agora podem se comunicar com vários sistemas infectados na mesma rede. A Check Point teorizou que os autores do malware estavam inicialmente apenas testando o malware e agora passaram desse estágio.
A Check Point e outros fornecedores, como a Proofpoint, disponibilizaram indicadores de comprometimento para o Bumblebee para ajudar as organizações a detectar e bloquear a ameaça em seu ambiente.
FONTE: DARK READING