Nilaa Maharjan, Logpoint Global Services & Security Research

Detta blogginlägg ger en översikt över forskningen kring en ny malware-loader som kallas Bumblebee. Den används av minst tre cyberkriminella grupper som har kopplingar till ransomware-gäng. Gängen som använder Bumblebee har tidigare använt loaders som BazarLoader och IcedID – kopplade till de ökända ransomware-grupperna Conti och Diavol. Introduktionen av Bumblebee sammanfaller med den snabba försvinnandet av BazarLoader under de senaste veckorna. Följande blogg och den tillhörande rapporten ”Logpoint Emerging Threats Protection” går in djupare på incidenten, identifieringsåtgärder med hjälp av Logpoint SIEM och förebyggande och respons med hjälp av Logpoint SOAR.

I början av mars 2022 överraskades forskare av en ny skadlig malware-loader som kallas Bumblebee. Angreppskedjan har sitt ursprung i ransomware-gänget Conti och används enligt uppgift av minst tre kluster med aktiviteter som ersätter BazarLoader med skadeprogrammet Bumblebee.

I ett blogginlägg sade forskarna på Proofpoint att de inte hade observerat BazarLoader sedan februari 2022. Bumblebee verkar fungera som en sofistikerad nedladdningsagent som kringgår de flesta – om inte alla, virtualiseringskontroller – genom att implementera egna unika funktioner redan i dess tidiga utvecklingsfaser. Hittills har forskare observerat att Bumblebee använts för att sprida alla typer av malware som Cobalt Strike, shellcode, Sliver och Meterpreter. Namnet kommer från användaragenten ”bumblebee” som användes i de tidiga kampanjerna. Bumblebee är dock en gateway vars syfte är att ladda ner och exekvera ytterligare ransomware-nyttolaster.

Så fungerar Bumblebee

I regel levererar skadliga skräppostkampanjer (MalSpam) skadliga dokument (MalDoc) för att lura offren att interagera med infekterade dokument och exekvera skadlig makrokod genom att klicka på ”Aktivera innehåll”. Det i sin tur laddar ner och exekverar den skadliga nyttolasten på liknande sätt som andra Conti ransomware-attacker.

Man förväntade att cyberbrottslingarna skulle ändra sina initiala angreppsmetoder efter de ändringar som Microsoft nyligen tillämpat på standardfunktionerna i sina Office-produkter: ”Makron från internet kommer att blockeras som standard i Office” och ”Makron i Excel 4.0 (XLM) inaktiveras som standard.” Dessa ändringar påverkar både angriparna och försvararna eftersom angriparna har missbrukat Office-dokument med skadliga makron i många år och försvararna har ägnat tid och resurser på att övervaka dessa sårbarheter.

Angriparna verkar ha övergått till plan B. Bumblebee distribueras via nätfiskekampanjer (s.k. phishing) av minst tre identifierade hotaktörer. Hotaktörerna använder flera tekniker för att leverera Bumblebee. Medan lockbeten, leveranstekniker och filnamn i regel är anpassade till de olika hotaktörer som distribuerar kampanjerna, har cybersäkerhetsforskare observerat flera gemensamma nämnare mellan kampanjer, såsom användning av ISO-filer, HTML-filer förtäckta som e-postsvar till kontaktformulär med genvägar och DLL-filer och en gemensam DLL-ingångspunkt som används av sådana aktörer inom samma vecka.

Huvudresultat

Kända hotaktörer:

Primära:

Conti (Ryuk)

Sekundära:

EXOTIC LILY, TA578, TA579

  • En ny malware-loader som kallas Bumblebee används av flera cyberkriminella grupper som tidigare observerats leverera BazarLoader och IcedID.
  • Flera hotaktörer som är kända för att använda BazarLoader i malware-kampanjer har övergått till Bumblebee sedan dess mystiska försvinnande. BazarLoader har inte observeratssedan februari 2022.
  • Bumblebee är i aktiv utveckling och utnyttjar avancerade metoder för att undgå upptäckt, bland annat komplex antivirtualisering.
  • Till skillnad från de flesta andra skadeprogram som använder processurholkning eller DLL-injektion använder denna loader APC-injektion (Asynchronous Procedure Call) för att starta shell-koden från de kommandon som tas emot från Command and Control-styrprogrammet (C2).
  • Bumblebee installerar Cobalt Strike, shellcode, Sliver och Meterpreter för Command and Control.
  • Hotaktörerna som använder Bumblebee är associerade med malware-nyttolaster som har koppling till efterföljande ransomware-kampanjer.

Jason Hicks, Field CISO och chefsrådgivare på Coalfire, säger att användning av en APC-injektion kontra DLL-injektion potentiellt gör denna malware något svårare att identifiera ur ett antimalware/EDR-perspektiv. Hicks säger att för att kunna identifiera något som detta måste verktygen använda någon kombination av maskininlärning och i vissa fall artificiell intelligens.

”Om de flesta av modellerna är tränade för att identifiera DLL-injektion och inte APC-injektion kan det minska detekteringsprecisionen”, säger Hicks. ”I takt med att detta blir allt vanligare förväntar jag mig att verktygen börjar identifiera båda dessa metoder med samma frekvens.” Att förlita sig på traditionella signaturbaserade applikationer räcker inte längre för att skydda sig mot dessa typer av attacker.”

Det är uppenbart att hotaktörerna har utvecklat förmågan att kringgå traditionella säkerhetssystem genom att använda befintliga sårbarheter och ny teknik, taktiker och tekniker allt eftersom de blir tillgängliga. För att kunna hålla jämna steg eller ligga steget före måste försvarsgemenskapen bygga upp försvaret med en mängd säkerhetsprodukter som arbetar sida vid sida och utnyttjar varandras styrkor. En SIEM-lösning – exempelvis den från Logpoint – som införlivar användar- och beteendeanalys med hjälp av maskininlärning bör numera vara en prioritet snarare än en lyxlösning.

Bumblebee visar hur hotaktörer använder flera tekniker, men även varierar sina tekniker för att inte bara kompromettera organisationer utan även undvika att bli upptäckta av de flesta SIEM- och XDR-plattformar.

Även om de flesta SIEM- och XDR-lösningar redan saknar nödvändiga analysverktyg över många datakällor, är det verkliga problemet att de förlitar sig på regelbaserade maskininlärningsmodeller som är fasta och inte kan anpassas efter hotaktörernas olika tekniker och verktyg. Detta gör det möjligt för angripare att enkelt leverera skadliga nyttolaster när de har fått ett första fotfäste i nätverket, oftast via en phishing-attack.

Genom att lägga till en UEBA-lösning till en SIEM-lösning får man automatiserad hotdetektion för att identifiera okända hot, eftersom den fastställer basnivåer för normalt beteende med hjälp av maskininlärning istället för att förlita sig på fördefinierade regler. Läs mer om hur UEBA fungerar här.

Vi har skapat en skräddarsydd lista över larm som finns att ladda ner på nedladdningssidan. Logpoints Security Research- och Global Services-team har sammanställt en rapport som går in i detalj på metoder och utvecklingen av Bumblebee, bästa säkerhetspraxis och hur man identifierar, undersöker och åtgärdar med hjälp av Logpoint.

Adding a UEBA solution to a SIEM provides automated threat detection to find unknown threats, as it draws baselines for normal behavior using ML instead of relying on pre-defined rules. Read more about how UEBA works here.

We have created a curated list of Alerts that are available for download through the downloads page. Logpoint’s Security Research and Global Services teams have put together a report going into detail about the methods and evolution of Bumblebee, best security practices, and how to detect, investigate, and respond using Logpoint.

For more in-depth information:

Download the report

For more in-depth information:

Download the report for free