Bumblebee olarak bilinen kötü amaçlı yazılım yükleyici, sömürü sonrası faaliyetler için hedef ağları ihlal etmek için kampanyalarında BazarLoader, TrickBot ve IcedID ile ilişkili tehdit aktörleri tarafından giderek daha fazla tercih ediliyor.
Cybereason araştırmacıları Meroujan Antonyan ve Alon Laufer teknik bir yazıda, “Bumblebee operatörleri yoğun keşif faaliyetleri yürütüyor ve yürütülen komutların çıktısını sızma için dosyalara yönlendiriyor.” Dedi.
Bumblebee ilk olarak Mart 2022’de Google’ın Tehdit Analizi Grubu’nun (TAG), TrickBot ve daha büyük Conti kolektifleriyle bağları olan Exotic Lily adlı bir ilk erişim komisyoncusunun faaliyetlerini ortaya çıkardığında ortaya çıktı.
Tipik olarak, hedefli kimlik avı kampanyaları yoluyla elde edilen ilk erişim yoluyla sağlanan modus operandi, o zamandan beri, öncelikle Microsoft’un makroları varsayılan olarak engelleme kararına yanıt olarak, ISO ve LNK dosyaları lehine makro bağlı belgelerden kaçınılarak düzeltildi.
Araştırmacılar, “Kötü amaçlı yazılımın dağıtımı, ekli veya Bumblebee içeren kötü amaçlı bir arşive bağlantı içeren kimlik avı e-postaları ile yapılır.” Dedi. “İlk yürütme, arşivi çıkarmak, bir ISO görüntü dosyası yerleştirmek ve bir Windows kısayol (LNK) dosyasını tıklatmak zorunda olan son kullanıcı yürütmesine dayanır.”
LNK dosyası, kendi adına, Bumblebee yükleyicisini başlatma komutunu içerir; bu, daha sonra kalıcılık, ayrıcalık yükseltme, keşif ve kimlik bilgisi hırsızlığı gibi sonraki aşama eylemleri için bir kanal olarak kullanılır.
Saldırı sırasında ayrıca, virüslü uç noktalarda yüksek ayrıcalıklar kazanarak tehdit aktörünün ağ üzerinde yanal olarak hareket etmesini sağlayan Cobalt Strike düşman simülasyon çerçevesi kullanılır. Kalıcılık, AnyDesk uzak masaüstü yazılımı dağıtılarak elde edilir.
Cybereason tarafından analiz edilen olayda, yüksek ayrıcalıklı bir kullanıcının çalınan kimlik bilgileri daha sonra Active Directory’nin kontrolünü ele geçirmek için kullanıldı, veri sızması için yerel bir kullanıcı hesabı oluşturmaktan bahsetmiyorum bile.
Siber güvenlik firması, “İlk erişim ile Active Directory güvenliği arasında geçen süre iki günden azdı” dedi. “Bumblebee’yi içeren saldırılar kritik olarak ele alınmalıdır, […] ve bu yükleyici, fidye yazılımı teslimi ile tanınır.”