Son siber güvenlik haberlerinde, kötü şöhretli Bumblebee yükleyicisi yeni bir kampanyayla yeniden canlandı ve kuruluşların dijital güvenliğine önemli bir tehdit oluşturdu.
Genellikle fidye yazılımı saldırıları için bir basamak olarak kullanılan bu yükleyici bir ara vermişti ancak geliştirilmiş tekniklerle yeniden ortaya çıktı.
Intel 471 Kötü Amaçlı Yazılım İstihbaratı, Bumblebee operatörlerinin güncellenmiş taktiklerle geri döndüğünü bildirdi.
Kötü amaçlı yazılım, artık sabit kodlu komut ve kontrol sunucularına güvenmek yerine Etki Alanı Oluşturma Algoritması (DGA) kullanıyor ve bu da onu daha dayanıklı hale getiriyor.
7 Eylül 2023’te Web Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) sunucularını kullanan yeni bir kampanya gözlemlendi.
Tehdit aktörleri, Bumblebee için dağıtım yöntemi olarak Windows kısayolu (.LNK) ve sıkıştırılmış arşiv (.ZIP) dosyalarını içeren kötü amaçlı spam e-postaları kullandı. Etkinleştirildikten sonra bu dosyalar, kötü amaçlı yazılımı WebDAV sunucularından indiren komutları çalıştırdı.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Bumblebee, Eylül 2021’de yükleyici olarak öne çıktı ve daha önce BazarLoader kullanmış olan tehdit aktörlerinin tercihi haline geldi.
Ünlü Bumblebee Kampanyası
O zamandan beri Cobalt Strike, Metasploit ve Sliver dahil olmak üzere çeşitli fidye yazılımı yükleriyle ilişkilendirildi.
Bu yükleyicinin Conti ve Trickbot operasyonlarına bağlı tehdit aktörleriyle olan ilişkisi, onun gücünü vurguluyor.
Bir tehdit aktörü, Bumblebee’yi kötü niyetli bir reklam kampanyasında kullanarak ABD merkezli kurumsal kullanıcıları tehlikeye atmayı hedefledi ve siber suçlular için değerini vurguladı.
Bu son kampanyada tehdit aktörleri, kötü amaçlı yazılımı dağıtmak için 4 paylaşımlı WebDAV hizmetlerinden yararlandı.
4shared dosya barındırma hizmeti, kullanıcıların hem web arayüzü hem de WebDAV protokolü aracılığıyla dosya yüklemesi ve indirmesi için bir platform sağlar.
WebDAV, kullanıcıların uzak sunuculardaki dosyaları yönetmesine ve düzenlemesine olanak tanıyarak onu kullanışlı bir araç haline getirir.
WebDAV’ın kötü amaçlı yazılım dağıtımında kullanılması yeni olmasa da, SANS Internet Storm Center’ın belirttiği gibi, yılın başlarında IcedID (diğer adıyla Bokbot) kötü amaçlı yazılımının dağıtımında rol oynadı.
Bumblebee kampanyasında kötü niyetli aktörler, taramalar, bildirimler ve faturalar gibi çeşitli belgeler kılığında spam e-postalar gönderdi.
Bu e-postalar, “scan-document_2023(383).lnk” ve “invoice-07september_2023(231).lnk” gibi dosya adlarına sahip ilgi çekici ekler içeriyordu.
Gözlemlenen örneklerin çoğu .LNK dosyaları olarak dağıtıldı. Bu .LNK dosyaları yürütüldüğünde, önceden tanımlanmış komutları gerçekleştiren Windows komut işlemcisini başlattı.
İlk komut, bir ağ sürücüsünü “https://webdav.4shared” adresinde bulunan bir WebDAV klasörüne bağlamayı içeriyordu.[dot]com” belirli kimlik doğrulama bilgilerini kullanarak.
Ayrıntılı analiz, farklı örnekler arasında komut setlerindeki farklılıkları ortaya çıkardı. Ağ sürücüsünü taktıktan sonra sonraki komutlar belirli örneğe bağlı olarak farklılık gösteriyordu.
Örneğin, bazıları dosya çıkarmak için “genişlet”i kullanırken, diğerleri alternatif bir yöntem olarak “replace.exe”yi kullandı. Bu dosyaları çalıştırma yaklaşımları da “wmic.exe”, “conhost.exe” ve “schtasks” gibi işlemler kullanılarak farklılık gösterdi.
1 Eylül 2023’te Bumblebee yükleyicisinin mimarisinde önemli değişiklikler içeren yeni bir sürümü tespit edildi.
İletişim için WebSocket protokolünü kullanmaktan özel bir İletim Kontrol Protokolüne (TCP) geçiş yapıldı.
Önceki sabit kodlu komut ve kontrol sunucuları listesinin yerine bir Etki Alanı Oluşturma Algoritması (DGA) da tanıtıldı. DGA, “.life” üst düzey etki alanına (TLD) sahip 100 yeni etki alanı oluşturarak karmaşıklığı artırdı ve statik C2 sunucularına bağımlılığı azalttı.
Gözlemlenen WebDAV kampanyasında dört alan listelendi ve dördüncü alan başarıyla çözümlenip iletişime geçildi:
- 3v1n35i5kwx[dot]hayat
- cmid1s1zeiu[dot]hayat
- itzko2ot5u[dot]hayat
- yenidnq1xnl9[dot]hayat
Bu gelişen Bumblebee yükleyici, tehdit aktörlerinin kaçırma taktiklerini ve ağ incelemelerine karşı dayanıklılığı artırmaya yönelik koordineli çabalarını vurguluyor. 4shared’in WebDAV hizmetlerinin dağıtım yöntemi olarak kullanılması yeni bir saldırı vektörünü temsil ediyor.
Bu kampanyada kullanılan .LNK dosyalarının ayrıntılı analizi, ağ sürücülerinin takılması ve çeşitli komut dizilerinin ve yürütme yöntemlerinin kullanılması da dahil olmak üzere, tespitten kaçınmak için hesaplanmış adımları göstermektedir.
Intel 471, bu kampanyayla ilişkili olduğu bilinen kötü amaçlı etki alanlarının engellenmesini ve şüpheli etkinlik açısından komut satırı olay günlüklerinin yakından izlenmesini önerir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.