Bumblebee kötü amaçlı yazılımı, dört aylık bir tatilin ardından geri döndü ve kimlik avı kampanyalarıyla ABD’deki binlerce kuruluşu hedef aldı.
Bumblebee, Nisan 2022’de keşfedilen bir kötü amaçlı yazılım yükleyicisidir ve Conti ve Trickbot siber suç örgütü tarafından BazarLoader arka kapısının yerine geçmek üzere geliştirildiğine inanılmaktadır.
Kötü amaçlı yazılım, ilk ağ erişimi için ve fidye yazılımı saldırıları gerçekleştirmek amacıyla, Cobalt Strike işaretçileri gibi virüslü cihazlara ek yükler bırakmak için genellikle kimlik avı kampanyalarında dağıtılır.
Proofpoint tarafından gözlemlenen yeni bir kötü amaçlı yazılım kampanyasında, Bumblebee’nin Ekim ayından bu yana geri dönüşü önemli çünkü bu, 2024’e girerken siber suç faaliyetlerinde daha geniş bir artışa yol açabilir.
Sahte sesli mesajlar yoluyla yayılıyor
Bumblebee’yi yönlendiren yeni kimlik avı kampanyası, “Şubat Sesli Posta” konusunu kullanan ve ABD’deki binlerce kuruluşa “info@quarlessa” adresinden gönderilen sesli posta bildirimleri gibi görünüyor.[.]com.”
E-postalar, “ReleaseEvans#96.docm” adlı bir Word belgesini veya benzer bir şeyi indiren bir OneDrive URL’si içeriyor; yapay zeka destekli piniyle bilinen tüketici elektroniği şirketi hu.ma.ne’den geliyormuş gibi görünen bir yem içeriyor.
Kötü amaçlı belge, Windows temp klasöründe bir komut dosyası oluşturmak için makroları kullanır ve ardından bırakılan dosyayı “wscript” kullanarak çalıştırır.
Bu geçici dosya, bir sonraki aşamayı uzak bir sunucudan alıp yürüten ve sonunda Bumblebee DLL’sini (w_ver.dll) kurbanın sistemine indirip başlatan bir PowerShell komutu içerir.
Proofpoint, Microsoft’un 2022’de makroları varsayılan olarak engelleme kararının ardından belgelerde VBA makrolarının kullanılmasının dikkate değer ve alışılmadık bir durum olduğunu, bunun da kampanyanın daha fazla başarıya ulaşmasını zorlaştırdığını söylüyor.
Önceki Bumblebee kampanyaları, nihai yükü sağlamak için doğrudan DLL indirmeleri, HTML kaçakçılığı ve CVE-2023-38831 gibi güvenlik açıklarından yararlanma gibi yöntemler kullanıyordu; dolayısıyla mevcut saldırı zinciri, daha modern tekniklerden önemli bir farklılığı temsil ediyor.
Bunun olası açıklamaları arasında, kötü amaçlı VBA’ların artık daha az yaygın olması veya son derece eski sistemleri hedefleyen niş/dar hedefleme olması nedeniyle kaçırma yer almaktadır. Ayrıca Bumblebee dağıtım yöntemlerini test ediyor ve çeşitlendiriyor olabilir.
Proofpoint, Bumblebee’nin geçmiş kampanyalarda makro yüklü belgelerle deneyler yaptığını, ancak bu vakaların kaydedilen toplamın yalnızca %4,3’üne (230 kampanya) karşılık geldiğini söylüyor.
Bumblebee’nin kırılmasından önce, kötü amaçlı yazılımdaki son dikkate değer gelişme, kötü amaçlı yazılımın engellenen listelerden kaçmak için 4 paylaşımlı WebDAV hizmetlerinin kötüye kullanılmasına dayanan yeni bir dağıtım tekniğini kullandığı Eylül 2023’te yaşandı.
Siber suçlar yeniden iş başında
Bumblebee genellikle ilk erişim aşamasını atlayıp yüklerini zaten ihlal edilmiş sistemlere aktarmak isteyen siber suçlulara kiralanıyor.
Proofpoint, son kampanyayı herhangi bir belirli tehdit grubuna atfetmek için yeterli kanıt bulunmadığını söylüyor. Ancak araştırmacılar, kampanyanın TA579 olarak takip ettikleri tehdit aktörlerinin özelliklerini taşıdığını söylüyor.
Proofpoint’e göre son dönemde faaliyetlerinde yeniden canlanma gösteren diğer tehdit aktörleri arasında TA576, TA866, TA582 ve TA2541 yer alıyor.
Kolluk kuvvetlerinin QBot’u (Qakbot) engellemesi, yük dağıtım pazarında diğer kötü amaçlı yazılımların doldurmaya çalıştığı bir boşluk yarattı.
Dikkate değer vakalar arasında, artık kimlik avı, kötü amaçlı reklamcılık ve Skype ve Microsoft Teams’deki mesajlar da dahil olmak üzere birden fazla kanal aracılığıyla bulaşmaları yönlendiren son derece yetenekli iki kötü amaçlı yazılım yükleyicisi olan DarkGate ve Pikabot yer alıyor.
Zscaler dün Pikabot hakkında bir rapor yayınladı ve kötü amaçlı yazılımın geçen yıl Noel’den sonra kısa bir aradan sonra bu ay yeni, basitleştirilmiş bir sürümle yeniden ortaya çıktığını belirtti.
Yeni Pikabot sürümü, daha önce kullanılan gelişmiş kod gizleme tekniklerini ortadan kaldırdı ve daha az çok yönlü bir yapılandırma sistemi kullanıyor; bu nedenle, yenilenmiş bir varyantın erken sürümü gibi görünüyor.