Kötü şöhretli kötü amaçlı yazılım yükleyicisi ve ilk erişim aracısı yaban arısı Şubat 2024’te gözlemlenen yeni bir kimlik avı kampanyası kapsamında dört aylık bir aradan sonra yeniden ortaya çıktı.
Kurumsal güvenlik firması Proofpoint, etkinliğin ABD’deki kuruluşları, OneDrive URL’lerine bağlantılar içeren sesli posta temalı yemlerle hedeflediğini söyledi.
Şirket, Salı günü yayınlanan bir raporda, “URL’ler, ‘ReleaseEvans#96.docm’ (dosya uzantısından önceki rakamlar değişiyor) gibi adlara sahip bir Word dosyasına yönlendirdi” dedi. “Word belgesi tüketici elektroniği şirketi Humane’i yanılttı.”
Belgenin açılması, uzak bir sunucudan başka bir PowerShell betiğini indirip yürütmek üzere bir PowerShell komutunu başlatmak için VBA makrolarından yararlanır ve bu komut da Bumblebee yükleyicisini alır ve çalıştırır.
İlk olarak Mart 2022’de tespit edilen Bumblebee, esas olarak fidye yazılımı gibi devam eden yükleri indirip yürütmek için tasarlandı. Daha önce BazaLoader (aka BazarLoader) ve IcedID’yi dağıttığını gözlemleyen çok sayıda suç yazılımı tehdidi aktörü tarafından kullanılmaya başlandı.
Ayrıca tehdit aktörleri Conti ve TrickBot siber suç örgütü tarafından BazarLoader’ın yerine geçecek şekilde geliştirildiğinden de şüpheleniliyor. Eylül 2023’te Intel 471, yükleyiciyi dağıtmak için Web Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) sunucularını kullanan bir Bumblebee dağıtım kampanyasını açıkladı.
Saldırı zinciri, özellikle Microsoft’un Temmuz 2022’den itibaren internetten indirilen Office dosyalarındaki makroları varsayılan olarak engellemeye başladığı ve tehdit aktörlerinin yaklaşımlarını değiştirmesine ve çeşitlendirmesine yol açtığı göz önüne alındığında, saldırı zincirindeki makro özellikli belgelere olan bağımlılığıyla dikkat çekiyor.
Bumblebee’nin geri dönüşü aynı zamanda QakBot, ZLoader ve PikaBot’un yeni çeşitlerinin yeniden ortaya çıkmasıyla aynı zamana denk geliyor ve QakBot örnekleri Microsoft Yazılım Yükleyici (MSI) dosyaları biçiminde dağıtılıyor.
Siber güvenlik firması Sophos, Mastodon’da “.MSI, bir Windows .cab (Cabinet) arşivi bırakıyor ve bu da bir DLL içeriyor” dedi. “.MSI, DLL’yi .cab’den çıkarır ve kabuk kodunu kullanarak çalıştırır. Kabuk kodu, DLL’nin kendisinin ikinci bir kopyasını oluşturmasına ve bot kodunu ikinci örneğin bellek alanına enjekte etmesine neden olur.”
En yeni QakBot eserlerinin, dizeleri ve diğer bilgileri gizlemek için kullanılan şifrelemeyi sertleştirdiği, DaveCrypter adlı şifreleyici kötü amaçlı yazılımın kullanılması da dahil olmak üzere, analiz etmeyi daha da zorlaştırdığı keşfedildi. Yeni nesil aynı zamanda kötü amaçlı yazılımın sanal makinede mi yoksa korumalı alanda mı çalıştığını tespit etme yeteneğini de yeniden etkinleştiriyor.
Bir diğer önemli değişiklik, kötü amaçlı yazılım ile komuta ve kontrol (C2) sunucusu arasındaki tüm iletişimin, Ağustos 2023’ün sonlarında QakBot’un altyapısının sökülmesinden önceki sürümlerde kullanılandan daha güçlü bir yöntem olan AES-256 kullanılarak şifrelenmesini içeriyor.
Baş araştırmacı Andrew Brandt, “QakBot botnet altyapısının ortadan kaldırılması bir zaferdi, ancak botun yaratıcıları hâlâ özgür ve QakBot’un orijinal kaynak koduna erişimi olan biri yeni yapılar üzerinde deneyler yapıyor ve bu en yeni varyantlarla suları test ediyor.” Sophos X-Ops’ta dedi.
“En dikkate değer değişikliklerden biri, botun, bota sabit kodlanmış varsayılan yapılandırmaları gizlemek için kullandığı şifreleme algoritmasında yapılan bir değişikliği içerir; bu da analistlerin kötü amaçlı yazılımın nasıl çalıştığını görmesini zorlaştırır; saldırganlar ayrıca daha önce kullanımdan kaldırılan aşağıdaki özellikleri de geri yüklüyor: sanal makine (VM) farkındalığını artırıyor ve bunları bu yeni sürümlerde test ediyoruz.”
Bu gelişme, Malwarebytes’in, Barclays gibi finans kurumlarını taklit eden kimlik avı sitelerinin potansiyel hedefleri kandırarak, var olmayan sorunları çözdüğü iddia edilen ve sonuçta tehdit aktörlerinin makinenin kontrolünü ele geçirmesine izin veren AnyDesk gibi meşru uzak masaüstü yazılımlarını indirmeleri için kandırdığı yeni bir kampanyayı ortaya çıkarmasıyla ortaya çıktı.