Nilaa Maharjan, Logpoint Global Services & Security Research
Cet article de blog vous présente les recherches menées sur un nouveau loader malveillant baptisé Bumblebee. Il est utilisé par au moins trois groupes cybercriminels qui ont des liens avec d’autres gangs de ransomware. Ceux qui utilisent à présent Bumblebee diffusaient, par le passé, les loaders BazarLoader et IcedID, liés aux groupes de ransomware bien connus Conti et Diavol. L’émergence de Bumblebee coïncide avec la disparition rapide de BazarLoader ces dernières semaines. Cet article ainsi que le rapport associé ‘Emerging Threats Protection’ de Logpoint examinent en profondeur l’incident, les mesures de détection via Logpoint SIEM, ainsi que la prévention et les réponses à l’aide de Logpoint SOAR.
Début mars 2022, les chercheurs ont été surpris par l’arrivée d’un nouveau downloader malveillant appelé Bumblebee. Puisant ses origines dans le gang de ransomware Conti, la chaîne d’attaque serait utilisée par au moins trois groupes d’activités remplaçant ainsi BazarLoader par le malware Bumblebee.
Dans un article de blog, les chercheurs de Proofpoint ont déclaré qu’ils n’avaient pas détecté BazarLoader dans leur recherche sur les menaces depuis février 2022. Bumblebee semble agir comme un downloader sophistiqué contournant la plupart, sinon la totalité, des contrôles de virtualisation en mettant en œuvre ses propres capacités uniques, et ce même lors de ses premières phases de développement. Jusqu’à présent, les chercheurs ont observé que Bumblebee était utilisé pour déployer toutes sortes de malwares tels que Cobalt Strike, shellcode, Sliver et Meterpreter. Le nom vient du User-Agent « bumblebee » utilisé lors des premières campagnes. Cependant, Bumblebee est une passerelle et vise à télécharger et à exécuter des charges virales de ransomware supplémentaires.
Présentation de Bumblebee
Habituellement, les campagnes de spam malveillant (MalSpam) distribuent des documents malveillants (MalDoc) pour inciter les victimes à interagir avec MalDoc et à exécuter le code macro malveillant en cliquant sur « Activer le contenu ». Cette action permet alors de télécharger et d’exécuter à son tour la charge virale malveillante, une technique utilisée d’ailleurs lors d’autres attaques du ransomware Conti.
On s’attendait à ce que les groupes cybercriminels modifient leurs techniques d’accès initial suite aux changements que Microsoft a récemment apportés à la politique par défaut des produits Office : « les macros provenant d’Internet seront bloquées par défaut dans Office » et « les macros Excel 4.0 (XLM) seront désactivés par défaut ». Ces changements ont un impact à la fois sur les attaquants et les défenseurs, car les attaquants abusent des documents Office avec des macros malveillantes depuis des années et les défenseurs, quant à eux, ont consacré une grande partie de leur temps et de leurs ressources à la surveillance de telles actions.
Néanmoins, il semble qu’ils aient élaboré un plan B. En effet, Bumblebee, concrètement, est utilisé dans des campagnes de phishing par email par au moins trois acteurs malveillants identifiés. Ces derniers ont utilisé plusieurs techniques pour propager Bumblebee. Alors que les appâts, les techniques de diffusion et les noms de fichiers sont généralement personnalisés en fonction des différents acteurs malveillants diffusant les campagnes, les experts en cybersécurité ont observé plusieurs points communs entre les différentes campagnes : à savoir, l’utilisation de fichiers ISO, de fichiers HTML déguisés en réponses envoyées par email, de formulaires de contact contenant des raccourcis fichiers et des DLL et enfin un point d’entrée DLL couramment utilisé par ces acteurs au cours de la même semaine.
Principales conclusions
Acteurs malveillants connus :
Primaire :
Conti (Ryuk)
Secondaire :
EXOTIC LILY, TA578, TA579
- Un nouveau loader de malwares appelé Bumblebee est utilisé par plusieurs acteurs malveillants habitués, par le passé, à diffuser BazarLoader et IcedID.
- Plusieurs acteurs malveillants, connus pour utiliser BazarLoader dans des campagnes de malware, sont passés à Bumblebee, depuis la disparition inhabituelle de ce dernier. En effet, BazarLoader n’a pas été revu depuis février 2022.
- Bumblebee est entré dans une phase de développement actif et utilise des techniques d’évasion élaborées pour inclure une anti-virtualisation complexe.
- Contrairement à la plupart des autres malwares qui utilisent des processus creux (process hollowing) ou l’injection DLL, ce loader utilise une injection APC (Asynchronous Procedure Call) pour démarrer le shellcode à partir des commandes reçues via le command and control (C2).
- Bumblebee is dropping Cobalt Strike, shellcode, Sliver, and Meterpreter for command and control.
- Les acteurs malveillants utilisant Bumblebee sont associés à des charges virales de malwares qui sont, quant à elles, liées à des campagnes de ransomware de type follow-on.
Jason Hicks, Field CISO et executive advisor chez Coalfire, a déclaré que l’utilisation d’une injection APC par rapport à une injection DLL rendrait potentiellement ce malware un peu plus difficile à détecter d’un point de vue anti-malware/EDR. Hicks a déclaré que pour détecter un tel malware, les outils utilisent désormais une combinaison d’apprentissage automatique (ML) et, dans certains cas, d’intelligence artificielle (IA).
« Si la plupart des modèles sont entraînés pour détecter l’injection DLL et non l’injection APC, une telle limitation pourrait réduire le taux de précision de la détection », a déclaré Hicks. « Au fur et à mesure que cette technique se répandra, je pense que les outils devront commencent à détecter ces deux méthodes avec une fréquence équivalente. S’appuyer sur des applications traditionnelles basées sur des signatures ne suffira plus pour se protéger contre ce type d’attaques ».
Il est évident que les acteurs malveillants ont évolué pour contourner les systèmes de sécurité traditionnels en utilisant les vulnérabilités existantes, les nouvelles technologies, les tactiques et techniques dès que ces dernières étaient disponibles. Pour suivre le rythme, voire même pour garder une longueur d’avance, la communauté des défenseurs doit, à présent, se surpasser en s’appuyant sur plusieurs produits de sécurité qui fonctionnent les uns à côté des autres et se renforcent mutuellement. Une solution SIEM, comme celle fournie par Logpoint, qui intègre l’analyse des utilisateurs et des comportements à l’aide de l’apprentissage automatique (ML) devrait être, à ce stade, une priorité plus qu’un luxe.
Bumblebee montre comment les acteurs malveillants utilisent plusieurs techniques, mais font aussi varier leurs techniques pour, non seulement, compromettre les entreprises mais aussi échapper à la plupart des plateformes SIEM et XDR.
Alors que la plupart des solutions SIEM et XDR passent déjà à côté des analyses nécessaires concernant de nombreuses sources de données, le vrai problème est qu’elles reposent sur des modèles d’apprentissage automatique basés sur des règles qui sont fixes et incapables de s’adapter aux différents outils et techniques utilisés par les acteurs malveillants. Cette faille permet aux attaquants de diffuser facilement des charges virales malveillantes une fois qu’ils ont obtenu un accès initial au niveau du réseau, le plus souvent d’ailleurs via une attaque de phishing.
L’ajout d’une solution UEBA à un SIEM offre une détection automatisée des menaces afin de trouver celles qui sont inconnues, car cette dernière permet de définir des références en matière de comportement normal à l’aide du ML au lieu de s’appuyer sur des règles prédéfinies. Pour en savoir plus sur le fonctionnement de l’UEBA, rendez-vous sur la page dédiée.
Nous avons créé une liste structurée d’alertes qui peuvent être téléchargées via la page de téléchargement. Les équipes ‘Security Research and Global Services’ de Logpoint ont rédigé un rapport détaillant l’évolution de Bumblebee et les méthodes utilisées par ce dernier, les meilleures pratiques en matière de sécurité et la manière de détecter, d’investiguer et de répondre à l’aide de Logpoint.
