BazarLoader, TrickBot ve IcedID ile ilişkili tehdit aktörleri, kötü amaçlı yazılım yükleyici Bumblebee’yi giderek daha fazla tercih ediyor.
Bilgisayar korsanlarının, hedef ağları ihlal etme kampanyalarının bir parçası olarak, istismar sonrası faaliyetler amacıyla hedef ağlara sızmak için kullandıkları keşfedildi.
Cybereason’dan araştırmacılar Meroujan Antonyan ve Alon Laufer, durumu şu şekilde açıkladı: –
“Bumblebee operatörleri tarafından yoğun miktarda keşif yapılıyor. Üstelik, bir komutu yürüttükten sonra bile, bu komutun çıktısını, dışarı sızabilmesi için dosyalara yönlendiriyorlar.”
Teknik Analiz
Kullanıcılar genellikle sistem ikili programını kullanarak kötü amaçlı yazılımı yükleyen LNK dosyalarını yürüterek Bumblebee enfeksiyonlarını başlatır.
Kötü amaçlı ekler içeren kimlik avı e-postaları veya Bumblebee kötü amaçlı yazılımını içeren kötü amaçlı arşivlere bağlantılar, kötü amaçlı yazılımı dağıtmak için kullanılır.
Mart 2022’de Google’ın TAG’si ilk kez Bumblebee’nin internette ne yaptığını keşfetti. Daha büyük Conti kolektifine ve TrickBot’a ait olan aracılar olan Exotic Lily’nin maskesini kaldırarak, bu başarıya ulaşmayı başardılar.
Aşağıdaki dosyaları kullanarak Bumblebee DLL çalıştıran bu LNK dosyasında gömülü bir komut bulunur: –
- odbcconf.exe
- Arazide Yaşayan İkili Sistem (LOLBin)
- .rsp
Bumblebee DLL’sine yapılan başvuru .rsp dosyasında bulunabilir.
Rapora göre, genel bir kural olarak, saldırıyı gerçekleştirmek için ilk erişimi elde etmek için hedefli kimlik avı kampanyaları kullanılır. Yıl içerisinde makro ile zenginleştirilmiş dokümanlardan kaçınılarak, daha güvenilir olan ISO ve LNK dosyaları lehine yöntemde bir değişiklik yapılmıştır.
Bumblebee yükleyicisini başlatma komutu LNK dosyasında bulunur. Ortaya çıkan kanal daha sonra bir sonraki aşamada aşağıdaki eylemleri gerçekleştirmek için kullanılır:
- Kalıcılığı sürdürmek
- Ayrıcalıkların yükseltilmesi
- Keşif
- kimlik hırsızlığı
Kobalt Saldırısı düşman simülasyon çerçevesi, saldırı sırasında virüs bulaşmış uç noktada yükseltilmiş ayrıcalıklar elde ettikten sonra düşmanın davranışlarını simüle etmek için de kullanıldı.
Bu, tehdit aktörüne ağ boyunca yanlamasına hareket etme yeteneği sağlar. Kalıcılığı sağlamak için AnyDesk uzak masaüstü yazılımı, virüslü bir sisteme dağıtılabilir.
Bu olayda yüksek düzeyde ayrıcalıklı bir kullanıcının kimlik bilgileri çalındı ve ardından ayrıntılar, saldırganın Active Directory sunucusunun denetimini ele geçirmesini mümkün kılmak için kötüye kullanıldı.
Öneri
Cybereason GSOC tarafından yapılan öneriler şunlardır: –
- Yüklediğiniz güvenlik aracının Kötü Amaçlı Yazılımdan Koruma özelliğinin etkin olduğundan emin olun.
- Güvenlik aracınızda Algıla ve Engelle modlarının etkinleştirildiğinden emin olmalısınız.
- İnternetten indirilen dosyalar güvenli bir şekilde ele alınmalıdır.
- Dış kaynaklardan gelen e-posta mesajlarında, onlardan asla dosya indirmemelisiniz.
- Bir veri kurtarma planınız olduğundan emin olun.
- Verilerinizin yedekleri, uzaktan erişebileceğiniz güvenli bir yerde düzenli olarak saklanmalıdır.
- Parolalarınızın güçlü olduğundan ve tahmin edilmesinin kolay olmadığından emin olun.
- Güvenli kalmalarını sağlamak için parolalar düzenli olarak döndürülmelidir.
- Mümkün olduğunda iki faktörlü kimlik doğrulamanın etkinleştirildiğinden emin olmak önemlidir.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin