Το κακόβουλο λογισμικό “Bumblebee” επέστρεψε έπειτα από δύο μήνες απραξίας, με μια νέα καμπάνια, χρησιμοποιώντας προηγμένες τεχνικές διανομής που καταχρώνται τις υπηρεσίες του 4shared WebDAV.
Δείτε επίσης: Το ισχυρό JavaScript Dropper PindOS διανέμει malware Bumblebee και IcedID
Το WebDAV (Web Distributed Authoring and Versioning) είναι μια επέκταση του πρωτοκόλλου HTTP που επιτρέπει στους πελάτες να πραγματοποιούν απομακρυσμένες εργασίες, όπως δημιουργία, πρόσβαση, ενημέρωση και διαγραφή περιεχομένου σε έναν διακομιστή ιστού.
Σύμφωνα με τους ερευνητές της Intel471, η πιο πρόσφατη επίθεση του Bumblebee, που ξεκίνησε στις 7 Σεπτεμβρίου 2023, χρησιμοποιεί παράνομα τις υπηρεσίες 4shared WebDAV για να διανείμει τον κακόβουλο loader, να προσαρμόσει την αλυσίδα επίθεσης και να εκτελέσει πολλαπλές ενέργειες μετά τη μόλυνση.
Η κατάχρηση της πλατφόρμας 4shared, μιας νόμιμης και καταξιωμένης υπηρεσίας φιλοξενίας αρχείων, βοηθά τους χειριστές της Bumblebee να αποφύγουν τις λίστες αποκλεισμού και να διασφαλίσουν υψηλή διαθεσιμότητα της υποδομής. Ταυτόχρονα, το πρωτόκολλο WebDAV παρέχει πολλαπλούς τρόπους παράκαμψης συστημάτων ανίχνευσης συμπεριφοράς και το επιπρόσθετο πλεονέκτημα της βελτιωμένης διανομής, της εύκολης αλλαγής ωφέλιμου φορτίου κ.λπ.
Η τρέχουσα εκστρατεία του Bumblebee βασίζεται σε κακόβουλα ηλεκτρονικά μηνύματα που προσποιούνται ότι είναι σαρώσεις, τιμολόγια και ειδοποιήσεις, με σκοπό να απατήσουν τους παραλήπτες και να τους πείσουν να κατεβάσουν κακόβουλα αρχεία. Τα περισσότερα συνημμένα αρχεία είναι συντομεύσεις LNK των Windows. Ωστόσο, υπάρχουν επίσης αρχεία ZIP που περιέχουν αρχεία LNK, μια πιθανή ένδειξη ότι οι χειριστές του Bumblebee πειραματίζονται για να καθορίσουν το τι λειτουργεί καλύτερα.
Ανοίγοντας το αρχείο LNK, εκκινείται μια σειρά εντολών στον υπολογιστή του θύματος. Αυτές οι εντολές ξεκινούν με την προσάρτηση ενός φακέλου WebDAV ως μονάδα δίσκου δικτύου, χρησιμοποιώντας κωδικοποιημένα διαπιστευτήρια για έναν λογαριασμό αποθήκευσης στο 4shared.
Δείτε ακόμα: Bumblebee malware: Διανέμεται μέσω Google Ads και χρησιμοποιείται για επιθέσεις ransomware
Το 4Shared είναι μια δημοφιλής υπηρεσία φιλοξενίας αρχείων που επιτρέπει στους χρήστες να αποθηκεύσουν και να μοιραστούν αρχεία μέσω του Διαδικτύου. Παρ’ όλο που προσφέρει ευκολία και ευελιξία, η υπηρεσία αυτή έχει καταχραστεί επανειλημμένα από κακοβουλούς παράγοντες για την διανομή κακόβουλου λογισμικού, όπως το Bumblebee. Η υπηρεσία είχε προηγουμένως καταχωριστεί στην έκθεση “Notorious Markets” της κυβέρνησης των ΗΠΑ το 2016 για τη φιλοξενία περιεχομένου που προστατεύεται από πνευματικά δικαιώματα.
Η Intel471 ανιχνεύει πολλαπλές παραλλαγές στο σύνολο εντολών, περιλαμβάνοντας την επισύναψη αντιγράφων αρχείων, την εξαγωγή και την εκτέλεση αρχείων από την προσαρτημένη μονάδα δίσκου. Αυτό αποτελεί μια ακόμα ένδειξη για δοκιμή και βελτιστοποίηση. Η Intel471 αναφέρει ότι παρατηρεί πως οι δράστες πειραματίζονται με διάφορες μεθόδους για να προσαρτήσουν αντίγραφα αρχείων, να εξάγουν και να εκτελέσουν αρχεία από την προσαρτημένη μονάδα δίσκου, υποδεικνύοντας ότι προσπαθούν να βελτιστοποιήσουν την αλυσίδα επίθεσης.
Οι αναλυτές ανιχνεύσανε επίσης μια ενημερωμένη έκδοση του κακόβουλου λογισμικού Bumblebee loader που χρησιμοποιείται σε αυτήν την επίθεση. Αυτή η έκδοση έχει αλλάξει το πρωτόκολλο επικοινωνίας από WebSocket σε TCP για τις εντολές και τον έλεγχο μεταξύ του διακομιστή και των προσβεβλημένων συστημάτων (C2).
Επιπλέον, ο νέος loader έχει εγκαταλείψει τη χρήση των σκληρών διευθύνσεων C2. Αυτήν τη στιγμή χρησιμοποιεί έναν αλγόριθμο δημιουργίας τομέα (DGA) για να δημιουργήσει 100 τομείς “.life” (TLD) κατά τη διάρκεια της εκτέλεσης. Οι τομείς δημιουργούνται με τη χρήση μιας αρχικής στατικής τιμής 64-bit και το Bumblebee συνδέεται με αυτούς επαναλαμβάνοντας τη λίστα που δημιουργήθηκε μέχρι να βρει έναν τομέα που επιλύεται σε μια ενεργή διεύθυνση IP διακομιστή C2.
Στο παρελθόν, το Bumblebee συνδέθηκε με την διανομή κακόβουλου λογισμικού ransomware, όπως τα Conti και Akira. Επομένως, η υιοθέτηση ενός πιο αποτελεσματικού και ασαφούς τρόπου διανομής αποτελεί μια ανησυχητική εξέλιξη.
Δείτε επίσης: Rust Implant χρησιμοποιείται σε νέα εκστρατεία malware κατά του Αζερμπαϊτζάν
Επιπλέον, η υιοθέτηση του DGA δυσκολεύει τη χαρτογράφηση της υποδομής του Bumblebee, περιορίζει τους τομείς του και προκαλεί σημαντική διαταραχή στη λειτουργία του, προσθέτοντας περαιτέρω πολυπλοκότητα στην εφαρμογή προληπτικών μέτρων κατά κακόβουλου λογισμικού.
Είναι κρίσιμης σημασίας η ανάγκη για αυξημένη επαγρύπνηση και προσοχή από την πλευρά των χρηστών και των διαχειριστών των συστημάτων, καθώς και η ανάγκη ανάπτυξης πιο ισχυρών μηχανισμών ασφάλειας από τους παρόχους υπηρεσιών φιλοξενίας αρχείων.
