Nilaa Maharjan, Logpoint Global Services & Security Research

Dette blogindlæg giver et overblik over forskningen i en ny ondsindet loader, der har fået navnet Bumblebee. Den bruges af mindst tre cyberkriminelle grupper, der har forbindelser til ransomware-bander. Bander, der bruger Bumblebee, har tidligere brugt BazarLoader og IcedID-loadere – forbundet med de højt profilerede ransomware-grupper Conti og Diavol. Bumblebees fremkomst falder sammen med BazarLoaders hurtige forsvinden i de seneste uger. Følgende blog og den tilhørende Logpoint Emerging Threats Protection-rapport ser nærmere på hændelsen, hvordan den kan identificeres ved hjælp af Logpoint SIEM og forebyggelse og reaktioner ved hjælp af Logpoint SOAR.

Forskere blev i starten af marts 2022 forskrækkede over den brummen en ny ondsindet downloader kaldet Bumblebee, skabte. Angrebskæden, der har rødder i Conti ransomware-banden, bruges efter sigende af mindst tre klynger af aktiviteter, der erstatter BazarLoader med Bumblebee-malwaren.

I et blogindlæg sagdeProofpoint-forskere, at de ikke havde identificeret BazarLoader i deres trusselsundersøgelse siden februar 2022. Bumblebee fungerer tilsyneladende som en sofistikeret downloader, der omgår de fleste, hvis ikke alle, virtualiseringstjek ved at implementere sine egne unikke funktioner selv i de tidlige udviklingsfaser. Indtil videre har forskere observeret, at Bumblebee bruges til at udrulle alle former for malware, såsom Cobalt Strike, shellcode, Sliver og Meterpreter. Navnet kommer fra den bruger-agent “bumblebee”, der blev brugt i de tidlige kampagner. Men Bumblebee er en gateway og har til formål at downloade og køre yderligere ransomware-kode.

Flight of the Bumblebee

Oftest leverer ondsindede spamkampagner (MalSpam) ondsindede dokumenter (MalDoc) for at lokke ofrene til at interagere med MalDoc og køre den ondsindede makrokode ved at klikke på “Aktiver indhold”. Det downloader og udfører den ondsindede nyttelast på samme måde som andre Conti ransomware-angreb.

Det forventedes, at cybertrusselsgrupperne ændrede deres indledende adgangsteknikker efter de ændringer, Microsoft for nylig implementerede på standardpolitikken i sine Office-produkter: “Makroer fra internettet blokeres som standard i Office” og “Excel 4.0 (XLM) makroer er som standard deaktiveret.” Disse ændringer påvirker både angriberne og forsvarerne, da angriberne har misbrugt Office-dokumenter med ondsindede makroer i årevis, og forsvarerne har brugt størstedelen af opmærksomheden og ressourcerne til at overvåge disse handlinger.

Det ser ud til, at de har fundet på en plan B. Bumblebee bliver distribueret i e-mail phishingkampagner af mindst tre sporede trusselaktører. Trusselsaktørerne har brugt flere teknikker til at levere Bumblebee. Mens lokkemad, leveringsteknikker og filnavne typisk tilpasses til de forskellige trusselsaktører, der distribuerer kampagnerne, har cybersikkerhedsforskere observeret flere fællestræk på tværs af kampagner, såsom brugen af ISO-filer, HTML-filer, der er maskeret som e-mailsvar, til kontaktformularer, der indeholder genvejsfiler og DLL’er, og et fælles DLL-adgangspunkt, der bruges af sådanne aktører inden for den samme uge.

Resultater

Kendte trusselsaktører:

Primær:

Conti (Ryuk)

Sekundær:

EXOTIC LILY, TA578, TA579

  • En ny malware-loader ved navn Bumblebee bliver brugt af flere crimeware-trusselaktører, der tidligere er blevet observeret som leverandører af BazarLoader og IcedID.
  • Flere trusselsaktører, der var kendt for at bruge BazarLoader i malwarekampagner, har skiftet til Bumblebee, siden dens usædvanlige forsvinden. BazarLoader har ikke været set siden februar 2022.
  • Bumblebee er i aktiv udvikling og anvender omfattende undvigelsesteknikker, der omfatter kompleks anti-virtualisering.
  • I modsætning til de fleste andre malwarer, der anvender procesudhulning eller DLL-injektion, anvender denne loader en asynkron procedureopkaldsinjektion (APC) til at starte shellcode fra kommandoerne modtaget fra kommandoen og styringen (C2).
  • Bumblebee kaster Cobalt Strike, Shellcode, Sliver og Meterpreter til kommando og kontrol.
  • Trusselsaktører, der bruger Bumblebee, er forbundet med malware-payloads, der er blevet knyttet til opfølgende ransomware-kampagner.

Jason Hicks, Field CISO og Executive Advisor hos Coalfire, sagde, at brugen af en APC-injektion i forhold til en DLL-injektion potentielt ville gøre denne malware noget sværere at opdage ud fra et anti-malware-/EDR-perspektiv. Hicks sagde, at for at identificere noget som dette, bruger værktøjerne bruger en kombination af machine learning og i nogle tilfælde kunstig intelligens.

“Hvis de fleste af modellerne er trænet til at identificere DLL-injektion og ikke APC-injektion, kan det nedsætte identifikationsnøjagtigheden,” sagde Hicks. “Efterhånden som dette bliver mere og mere udbredt, vil jeg forvente, at værktøjerne begynder at identificere begge disse metoder med samme hyppighed.” Det ville ikke længere være nok at stole på traditionelle signaturbaserede applikationer for at beskytte mod denne type angreb.”

Det er indlysende, at trusselsaktører har udviklet sig til at omgå traditionelle sikkerhedssystemer ved at bruge eksisterende sårbarheder og ved at bruge ny teknologi, taktikker og teknikker, som de ser ud til at have. For at holde takt med eller overhale dem skal forsvarsfællesskabet samarbejde med sikkerhedsprodukter, så de arbejder side om side og udnytte hinandens styrker. En SIEM-løsning som den, der leveres af Logpoint, og som omfatter bruger- og adfærdsanalyser ved hjælp af ML, bør på nuværende tidspunkt være en prioritet frem for en luksus.

Bumblebee viser, hvordan trusselaktører bruger flere teknikker, men også varierer deres teknikker for ikke kun at kompromittere organisationer, men også for at undgå de fleste SIEM- og XDR-platforme.

Selvom de fleste SIEM- og XDR-løsninger allerede mangler de nødvendige analyser på tværs af mange datakilder, er det virkelige problem, at de er afhængige af regelbaserede machine learning-modeller, der er faste og ikke er i stand til at tilpasse sig trusselaktørers forskellige teknikker og værktøjer. Dette gør det muligt for angribere nemt at levere ondsindede nyttelaster, når de har fået den første adgang til netværket, oftest via et phishing-angreb.

Tilføjelse af en UEBA-løsning til en SIEM giver automatisk detektion af trusler for at finde ukendte trusler, da det trækker baselines for normal adfærd ved hjælp af ML i stedet for at basere sig på foruddefinerede regler. Læs mere om, hvordan UEBA fungerer, her.

Vi har oprettet en liste over alarmer, der kan downloades via downloadsiden. Logpoints Security Research- og Global Services-teams har udarbejdet en rapport med detaljerede oplysninger om metoderne og udviklingen af Bumblebee, bedste sikkerhedspraksis, og hvordan man opdager, undersøger og reagerer ved hjælp af Logpoint.

 

For more in-depth information:

Download the report

For more in-depth information:

Download the report for free