Proofpoint hat einen neuen Malware-Loader namens Bumblebee entdeckt. Er wird von Hackern verwendet, die zuvor BazaLoader und IcedID verbreitet haben.

Proofpoint has detected a new malware loader called Bumblebee being used by several crimeware threat actors previously observed delivering BazaLoader and IcedID.

Mehrere Bedrohungsakteure, die normalerweise BazaLoader in Malware-Kampagnen verwenden, sind auf Bumblebee umgestiegen. BazaLoader wurde in den Daten von Proofpoint seit Februar 2022 nicht mehr gesichtet.

Bumblebee befindet sich in aktiver Entwicklung und verwendet ausgefeilte Umgehungstechniken, einschließlich komplexer Antiviren-Virtualisierung. Im Gegensatz zu den meisten anderen Schadprogrammen, die Process Hollowing oder DLL-Injektion verwenden, nutzt dieser Loader die Injektion von asynchronen Prozeduraufrufen (APC), um den Shellcode über Befehle zu starten, die er von der Kommando- und Kontrollinstanz (C2) erhält.

Proofpoint hat festgestellt, dass Bumblebee Cobalt Strike, Shellcode, Sliver und Meterpreter ausführt. Bedrohungsakteure, die Bumblebee verwenden, wurden mit Malware-Nutzlasten in Verbindung mit späteren Ransomware-Kampagnen in Verbindung gebracht.

Überblick

Ab März 2022 beobachtete Proofpoint Kampagnen, die einen neuen Downloader namens Bumblebee verbreiteten. Mindestens drei Aktivitätsgruppen, darunter bekannte Bedrohungsakteure, verbreiten derzeit Bumblebee. Die von Proofpoint identifizierten Kampagnen überschneiden sich mit den Aktivitäten, die im Blog der Google Threat Analysis Group als Ursache für die Ransomware Conti und Diavol beschrieben werden.

Bumblebee ist ein hochentwickelter Downloader, der Anti-Virtualisierungsprüfungen und eine einzigartige Implementierung gängiger Downloader-Funktionen enthält, obwohl er sich noch in einem sehr frühen Stadium der Malware-Entwicklung befindet. Das Ziel von Bumblebee ist es, zusätzliche Nutzdaten herunterzuladen und auszuführen. Die Forscher von Proofpoint haben festgestellt, dass Bumblebee Cobalt Strike, Shellcode, Sliver und Meterpreter ausführt. Der Name der Malware leitet sich von dem einzigartigen Benutzeragenten „Bumblebee“ ab, der in früheren Kampagnen verwendet wurde.

Der Aufstieg von Bumblebee in der Bedrohungslandschaft fällt mit dem kürzlichen Verschwinden von BazaLoader aus den Bedrohungsdaten von Proofpoint zusammen, einem beliebten Payload, der Folgeangriffe erleichtert.

Details der Kampagne

Die Forscher von Proofpoint haben festgestellt, dass Bumblebee in E-Mail-Kampagnen von mindestens drei beobachteten Bedrohungsakteuren verbreitet wird. Zur Verbreitung von Bumblebee wurde eine Vielzahl von Techniken eingesetzt. Während die Köder, Übertragungstechniken und Dateinamen in der Regel an die verschiedenen Bedrohungsakteure angepasst sind, die die Kampagnen verbreiten, hat Proofpoint mehrere Gemeinsamkeiten zwischen den Kampagnen beobachtet, wie z.B. die Verwendung von ISO-Dateien, die Verknüpfungsdateien und DLLs enthalten, sowie einen gemeinsamen DLL-Einstiegspunkt, der von mehreren Akteuren innerhalb einer Woche verwendet wird.

URLs und HTML-Anhänge, die zu Bumblebee führen

Im März 2022 beobachtete Proofpoint eine E-Mail-Kampagne der Marke DocuSign mit zwei alternativen Pfaden, die den Empfänger zum Download einer schädlichen ISO-Datei führen sollten. Der erste Pfad begann damit, dass der Empfänger auf den Hyperlink „REVIEW THE DOCUMENT“ im Text der E-Mail klickte. Nach dem Anklicken wurde der Empfänger zum Download einer gezippten ISO-Datei auf OneDrive weitergeleitet.

Several threat actors that typically use BazaLoader in malware campaigns have switched to Bumblebee. BazaLoader has not been seen in Proofpoint data since February 2022.

Bumblebee is in active development and employs sophisticated evasion techniques, including complex anti-virtualization.

Unlike most other malware that uses process hollowing or DLL injection, this loader uses asynchronous procedure call (APC) injection to launch the shellcode from commands received from the command and control (C2).

Proofpoint has seen Bumblebee drop Cobalt Strike, shellcode, Sliver and Meterpreter.

Threat actors using Bumblebee have been associated with malware payloads associated with follow-on ransomware campaigns.

Overview.

Beginning in March 2022, Proofpoint observed campaigns delivering a new downloader called Bumblebee. At least three clusters of activity, including known threat actors, are currently distributing Bumblebee. The campaigns identified by Proofpoint overlap with activity detailed in the Google Threat Analysis Group blog as leading to the Conti and Diavol ransomware.

 

Bumblebee is a sophisticated downloader that includes anti-virtualization checks and a unique implementation of common downloader features, despite being so early in the malware’s development. Bumblebee’s goal is to download and execute additional payloads. Proofpoint researchers have seen Bumblebee drop Cobalt Strike, shellcode, Sliver and Meterpreter. The malware’s name is derived from the unique „bumblebee“ user agent used in earlier campaigns.

 

The rise of Bumblebee in the threat landscape coincides with the recent disappearance of BazaLoader, a popular payload that facilitates follow-on compromises, from Proofpoint’s threat data.

 

Campaign Details

Proofpoint researchers have observed Bumblebee being distributed in email campaigns by at least three tracked threat actors. The threat actors have used a variety of techniques to deliver Bumblebee. While the lures, delivery techniques, and filenames are typically customized for the different threat actors distributing the campaigns, Proofpoint has observed several commonalities across the campaigns, such as the use of ISO files containing shortcut files and DLLs, and a common DLL entry point used by multiple actors within the same week.

 

URLs and HTML attachments that lead to Bumblebee

In March 2022, Proofpoint observed a DocuSign-branded email campaign with two alternative paths designed to lead the recipient to download a malicious ISO file. The first path began with the recipient clicking on the „REVIEW THE DOCUMENT“ hyperlink in the body of the email. Once clicked, this would direct the user to download a zipped ISO file hosted on OneDrive.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner