Nilaa Maharjan, LogPoint Global Services & Security Research

Dieser Blog-Beitrag gibt Ihnen einen Überblick über die Untersuchungen zu einem neuen, schadhaften Loader namens Bumblebee (deutsch: Hummel). Er wird von mindestens drei cyberkriminellen Gruppierungen genutzt, die Verbindungen zu Ransomware-Angreifern haben. Die Gruppierungen, die Bumblebee verwenden, haben in der Vergangenheit die Loader BazarLoader und IcedID eingesetzt – und sie können mit den bereits bekannten Ransomware-Gruppen Conti und Diavol in Verbindung gebracht werden. Das Auftauchen von Bumblebee fällt mit dem raschen Verschwinden von BazarLoader in den vergangenen Wochen zusammen. Der folgende Blog-Beitrag und der begleitende „LogPoint Emerging Threats Protection Report“ befassen sich eingehend mit diesem sicherheitsrelevanten Vorfall, den Erkennungsmaßnahmen mit LogPoint SIEM sowie der Prävention und Reaktion darauf mit LogPoint SOAR.

Anfang März 2022 schreckte der neue, schadhafte Downloader namens Bumblebee die Sicherheitsanalysten auf. Die Angriffskette, die ihre Wurzeln in der Conti-Ransomware-Gruppierung hat, wird Berichten zufolge von mindestens drei aktiven Verbrecherbanden genutzt, die den BazarLoader durch die Bumblebee-Malware ersetzen.

In einem Blog-Beitrag erklärten die Analysten von Proofpoint, dass sie BazarLoader seit Februar 2022 in ihren Untersuchungen der Bedrohungslandschaft nicht mehr entdeckt hätten. Bumblebee scheint ein ausgereifter Downloader zu sein, der die meisten, wenn nicht sogar alle Virtualisierungsprüfungen umgeht, und seine Funktionen bereits in einer frühen Entwicklungsphase implementieren kann. Bislang haben Analysten beobachtet, dass Bumblebee zur Verbreitung aller Arten von Malware wie beispielsweise Cobalt Strike, Shellcode, Sliver und Meterpreter dient. Der Name stammt von dem User-Agent „bumblebee“, der bereits in den ersten Aktionen verwendet wurde. Bumblebee fungiert als Gateway und zielt darauf ab, zusätzliche Ransomware-Payloads herunterzuladen und auszuführen.

Der Flug der Hummel – Malware-Verbreitung mit Bumblebee

Üblicherweise werden über Spam-Kampagnen (MalSpam) schadhafte Dokumente (MalDoc) verbreitet. Opfer sollen dazu verleitet werden, mit dem MalDoc zu interagieren und den schädlichen Makro-Code auszuführen, indem sie auf „Inhalt aktivieren“ klicken. Dadurch wird die schadhafte Payload heruntergeladen und ausgeführt, ähnlich wie bei anderen Conti-Ransomware-Angriffen.

Es war zu erwarten, dass Bedrohungsakteure ihre initialen Zugriffstechniken ändern würden, nachdem Microsoft kürzlich die Standardrichtlinien für die Office-Produkte angepasst hatte: „Makros aus dem Internet werden in Office standardmäßig blockiert“ und „Excel 4.0 (XLM)-Makros sind standardmäßig deaktiviert“. Diese Änderungen betreffen sowohl die Angreifer als auch die Sicherheitsverantwortlichen in Unternehmen, da die Angreifer seit vielen Jahren Office-Dokumente mit schadhaften Makros versehen und Security-Teams einen Großteil ihrer Aufmerksamkeit und Ressourcen auf die Überwachung dieser kriminellen Aktionen verwenden müssen.

Es scheint, dass die Bedrohungsakteure einen Plan B entwickelt haben. Bumblebee wird von mindestens drei beobachteten kriminellen Gruppierungen über E-Mail-Phishing-Kampagnen verbreitet. Dabei haben die Bedrohungsakteure verschiedene Techniken genutzt. Zwar haben die verschiedenen Gruppierungen die Lockmittel, die Übermittlungstechniken sowie die Dateinamen in der Regel an ihre jeweiligen kriminellen Kampagnen angepasst, dennoch konnten Cybersecurity-Analysten einige Gemeinsamkeiten beobachten. Hierzu zählen beispielsweise die Verwendung von ISO-Dateien, als E-Mail-Antworten getarnte HTML-Dateien, Kontaktformulare, die Verknüpfungsdateien und DLLs enthalten, sowie gemeinsame DLL-Einstiegspunkte, die von diesen Bedrohungsakteuren innerhalb derselben Woche genutzt wurden.

Die wichtigsten Erkenntnisse

Bekannte Bedrohungsakteure:

Primärer Bedrohungsakteur:

Conti (Ryuk)

Sekundäre Bedrohungsakteure:

EXOTIC LILY, TA578, TA579

  • Mehrere Bedrohungsakteure nutzen einen neuen Malware-Loader namens Bumblebee. Zuvor setzten diese BazarLoader und IcedID für die Verbreitung von Malware ein.
  • Einige kriminellen Gruppierungen, die bekanntermaßen BazarLoader für ihre Malware-Kampagnen nutzten, sind nach dem ungewöhnlichen Verschwinden von BazarLoader zu Bumblebee gewechselt. BazarLoader wurde seit Februar 2022 nicht mehr beobachtet.
  • Bumblebee befindet sich in aktiver Entwicklung und verfügt über ausgereifte Verschleierungstechniken, die auch eine komplexe Anti-Virtualisierung umfassen.
  • Im Gegensatz zu den meisten anderen Malware-Programmen, die Process Hollowing oder DLL-Injektion verwenden, nutzt dieser Loader eine APC-Injection (APC: Asynchronous Procedure Call), um den Shellcode mit Befehlen zu starten, die er von einem Command-and-Control-Server (C2) erhält.
  • Bumblebee verbreitet Malware wie Cobalt Strike, Shellcode, Sliver und Meterpreter für Command-and-Control.
  • Bedrohungsakteure, die Bumblebee nutzen, werden mit Malware-Payloads und nachfolgenden Ransomware-Kampagnen in Verbindung gebracht.

 

Jason Hicks, Field CISO und Executive Advisor bei Coalfire, erklärte, dass die Verwendung einer APC-Injection im Gegensatz zu einer DLL-Injection die Erkennung der Malware aus der Anti-Malware- beziehungsweise EDR-Perspektive möglicherweise erschwert. Hicks ergänzte, dass Tools, die diese Angriffe erkennen können, maschinelles Lernen einsetzen – in einigen Fällen in Kombination mit künstlicher Intelligenz.

„Sind die meisten Modelle nur darauf trainiert, DLL-Injection und nicht APC-Injection zu identifizieren, kann dies die Erkennungsgenauigkeit beeinträchtigen“, so Hicks. „Ich gehe davon aus, dass die Tools mit zunehmender Verbreitung von APC-Injections beide Angriffsmethoden gleich häufig erkennen werden.“ Sich dabei ausschließlich auf herkömmliche, signaturbasierte Anwendungen zu verlassen, würde nicht mehr ausreichen, um sich vor dieser Art von Angriffen zu schützen.

Es liegt auf der Hand, dass Bedrohungsakteure sich weiterentwickeln, um traditionelle Sicherheitssysteme zu umgehen. Sie nutzen bestehende Schwachstellen sowie neue Technologien, Taktiken und Techniken, sobald diese zur Verfügung stehen. Um mit ihnen Schritt halten oder ihnen zuvorkommen zu können, müssen Sicherheitsverantwortliche sich selbst übertreffen, und die Stärken der verschiedenen, nebeneinander existierenden Sicherheitsprodukte optimal kombinieren. Eine SIEM-Lösung wie LogPoint, die Benutzer- und Verhaltensanalysen mithilfe von ML ermöglicht, sollte heute Priorität haben und nicht als Luxus betrachtet werden.

Bumblebee zeigt, dass Bedrohungsakteure mehrere Techniken einsetzen, aber auch ihre Techniken variieren, um nicht nur Unternehmen zu kompromittieren, sondern auch die meisten SIEM- und XDR-Plattformen zu umgehen.

Die meisten SIEM- und XDR-Lösungen können heute die erforderliche Analyse zahlreicher Datenquellen nicht leisten. Das eigentliche Problem besteht jedoch darin, dass sie sich auf regelbasierte Modelle für maschinelles Lernen stützen, die unveränderlich und nicht in der Lage sind, sich den unterschiedlichen Techniken und Tools der Angreifer anzupassen. Dies ermöglicht es Bedrohungsakteuren, schadhafte Payloads zu übermitteln, sobald sie sich den initialen Zugang zum Netzwerk verschafft haben – meist über Phishing-Angriffe.

Die Ergänzung einer SIEM-Lösung mit UEBA ermöglicht eine automatisierte Bedrohungserkennung, um unbekannte Gefahren aufzudecken. UEBA erstellt die Baselines für normales Verhalten mithilfe von ML, anstatt sich auf vordefinierte Regeln zu verlassen. Hier können Sie sich informieren, wie UEBA funktioniert.

Wir haben eine kuratierte Liste von Warnungen zusammengestellt, die Sie auf der Download-Seite herunterladen können. Die Teams von LogPoint Security Research und LogPoint Global Services haben zudem einen Bericht verfasst, der die Methoden und die Entwicklung von Bumblebee, die Best Practices für Ihre Sicherheit sowie die Erkennung, die Untersuchung und die Reaktionsmaßnahmen mit LogPoint im Detail beschreibt.

For more in-depth information:

For more in-depth information: