Un chargeur de logiciels malveillants récemment découvert appelé Bumblebee est probablement le dernier développement du syndicat Conti, conçu pour remplacer la porte dérobée BazarLoader utilisée pour fournir des charges utiles de ransomware.
L'apparition de Bumblebee dans les campagnes de phishing en mars coïncide avec une baisse de l'utilisation de BazarLoader pour diffuser des logiciels malveillants de cryptage de fichiers, selon les chercheurs.
BazarLoader est l'œuvre des développeurs du botnet TrickBot, qui ont fourni l'accès aux réseaux des victimes pour les attaques de ransomwares. Le gang TrickBot travaille maintenant pour le syndicat Conti.
Dans un rapport de mars sur un acteur menaçant suivi sous le nom de 'Lily exotique' qui a fourni un accès anticipé aux opérations de ransomware Conti et Diavol, le Google Threat Analysis Group indique que l'acteur a commencé à publier Bumblebee, plutôt que le malware. BazarLoader normal, pour livrer Cobalt Strike. .
Méthodes de livraison de bourdon
Éli Salem Le principal chasseur de menaces et ingénieur inverse des logiciels malveillants chez Cybereason affirme que les techniques de déploiement de Bumblebee sont les mêmes que pour BazarLoader et IcedID, qui ont tous deux déployé le rançongiciel Conti dans le passé.
Proofpoint confirme les conclusions de Salem et déclare avoir observé des campagnes de phishing dans lesquelles 'Bumblebee [était] utilisé par plusieurs acteurs de menaces de logiciels criminels précédemment observés, livrant BazaLoader et IcedID'.
'Les acteurs de la menace utilisant Bumblebee sont associés à des charges utiles de logiciels malveillants qui ont été liées à des campagnes de rançongiciels de suivi' - Proofpoint
La société note également que 'plusieurs acteurs de la menace qui utilisent généralement BazaLoader dans les campagnes de logiciels malveillants sont passés à Bumblebee' pour supprimer le shellcode et les cadres Cobalt Strike, Sliver et Meterpreter conçus pour l'évaluation de la sécurité de l'équipe rouge.
Dans le même temps, BazaLoader n'est plus répertorié dans les données Proofpoint depuis février.
Dans un rapport publié aujourd'hui, Proofpoint indique avoir observé plusieurs campagnes par e-mail distribuant Bumblebee dans des pièces jointes ISO contenant des raccourcis et des DLL.
Une campagne a exploité un doux document DocuSign qui a conduit à un fichier ZIP contenant un conteneur ISO malveillant hébergé sur le service de stockage en nuage OneDrive de Microsoft.
Les enquêteurs disent que l'e-mail malveillant comprenait également une pièce jointe HTML qui apparaissait comme un e-mail sur une facture impayée, dit Proofpoint.
source : point de test
L'URL intégrée au fichier HTML utilisait un service de redirection basé sur le TDS (Traffic Distribution Service) de Prometheus qui filtre les téléchargements en fonction du fuseau horaire et des cookies de la victime. La destination finale était également l'ISO malveillante hébergée sur OneDrive.
Les chercheurs de Proofpoint ont attribué cette campagne avec beaucoup de confiance au groupe cybercriminel TA579. Proofpoint suit TA579 depuis août 2021. Cet acteur a fréquemment livré BazaLoader et IcedID lors de campagnes précédentes.
En mars, Proofpoint a observé une campagne qui livrait Bumblebee via des formulaires de contact sur le site Web d'une cible. Les messages affirmaient que le site Web utilisait des images volées et incluaient un lien qui délivrait finalement un fichier ISO contenant le logiciel malveillant.
Proofpoint attribue cette campagne à un autre acteur menaçant que la société suit sous le nom de TA578 depuis mai 2020 et utilise des campagnes par e-mail pour diffuser des logiciels malveillants tels que Ursnif, IcedID, KPOT Stealer, Buer Loader et BazaLoader, ainsi que Cobalt Strike.
Les chercheurs ont détecté une autre campagne en avril qui a piraté des fils de discussion pour fournir le chargeur de logiciels malveillants Bumblebee dans les réponses à la cible avec une pièce jointe ISO archivée.
source : point de test
Bien qu'il n'ait pas trouvé de preuves tangibles, Proofpoint estime que les acteurs de la menace qui déploient Bumblebee sont des courtiers d'accès au réseau initiaux travaillant avec des acteurs de ransomware.
Logiciels malveillants de grande complexité
Les chercheurs s'accordent à dire que Bumblebee est un 'nouveau chargeur de logiciels malveillants hautement sophistiqué' qui intègre des techniques d'évasion complexes et élaborées et des astuces anti-analyse, y compris des méthodes anti-virtualisation complexes.
Dans une analyse technique jeudi, Eli Salem montre que les auteurs de Bumblebee ont utilisé tout le code anti-analyse accessible au public de l'application 'malware' al-khaser PoC.
L'examen du code de Salem a révélé que le logiciel malveillant recherche plusieurs outils d'analyse dynamique et statique, tente de détecter 'tout type d'environnement de virtualisation' en recherchant ses processus et en vérifiant les clés de registre et les chemins de fichiers.
Le chercheur note que l'une des choses les plus intéressantes qu'il a trouvées dans le composant principal du chargeur Bumblebee est la présence de deux fichiers DLL 32/64 bits appelés RapportGP.dll, un nom utilisé par le logiciel de sécurité Rapport de Trusteer pour protéger les données. confidentiels en tant que justificatifs d'identité.
Dans son examen technique séparé, Proofpoint a constaté que le chargeur Bumblebee prend en charge les commandes suivantes :
- Shi : injection de shellcode
- Dij : injection de DLL dans la mémoire d'autres processus
- Dex : Télécharger l'exécutable
- sdl : désinstaller le chargeur
- Ins : Activer la persistance via une tâche planifiée pour un script Visual Basic qui charge Bumblebee
Bumblebee utilise le code TrickBot
Les chercheurs en logiciels malveillants des sociétés de cybersécurité Proofpoint et Cybereason ont analysé Bumblebee et ont noté des similitudes avec le logiciel malveillant TrickBot dans le code, les méthodes de livraison et les charges utiles.
Salem a établi un lien entre Bumblebee et TrickBot après avoir constaté que les deux logiciels malveillants s'appuient sur le même mécanisme d'installation pour les hooks.
Les similitudes vont plus loin, car Bumblebee utilise la même technique de contournement pour RapportGP.DLL que TrickBot pour son module webinjection.
En outre, les deux logiciels malveillants tentent d'utiliser LoadLibrary et d'obtenir l'adresse de la fonction qu'ils souhaitent accrocher, a découvert le chercheur.
Salem dit que bien qu'il n'y ait pas suffisamment de preuves pour dire que Bumblebee et TrickBot ont le même auteur, il est plausible de supposer que le développeur de Bumblebee a le code source du module d'injection Web de TrickBot.
Développement rapide de logiciels malveillants
Bumblebee développe activement et acquiert de nouvelles fonctionnalités à chaque mise à jour. Le plus récent que Proofpoint a examiné date du 19 avril et prend en charge plusieurs serveurs de commande et de contrôle (C2).
source : point de test
Cependant, Proofpoint indique que le développement le plus important est l'ajout d'une couche de chiffrement via le chiffrement de flux RC4 pour les communications réseau, qui utilise une clé chiffrée pour chiffrer les requêtes et déchiffrer les réponses de C2.
Une autre modification est apparue le 22 avril lorsque les chercheurs ont remarqué que Bumblebee avait intégré un fil qui vérifie les outils courants utilisés par les analystes de logiciels malveillants par rapport à une liste cryptée.
source : point de test
Proofpoint estime que Bumblebee est un outil multifonctionnel qui peut être utilisé pour un accès initial aux réseaux des victimes afin de déployer ultérieurement d'autres charges utiles, telles que des ransomwares.
Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint, déclare que 'le logiciel malveillant est assez sophistiqué et s'avère être en développement actif et continu en introduisant de nouvelles méthodes pour échapper à la détection'.
les rapports [1, 2] d'Eli Salem de Cybereason et Proofpoint sont arrivés à un jour d'intervalle et incluent une analyse technique détaillée des aspects les plus significatifs du malware Bumblebee.
Qu'est-ce que tu penses?
