Um novo malware chamado Bumblebee é provavelmente o mais recente desenvolvimento do Conti para ataques cibernéticos. Aparentemente, ele foi projetado para substituir o backdoor BazarLoader usado para entregar cargas de ransomware.
O surgimento do Bumblebee em campanhas de phishing em março coincide com uma queda no uso do BazarLoader para entregar malware de criptografia de arquivos, dizem os pesquisadores. O BazarLoader é o trabalho dos desenvolvedores de botnet TrickBot, que forneceram acesso às redes das vítimas para ataques de ransomware. A gangue TrickBot agora está trabalhando para o Conti.
Bumblebee, um novo malware para ataques cibernéticos
Em um relatório em março (Via: BleepingComputer) sobre um agente de ameaças rastreado como “Exotic Lily” que forneceu acesso inicial para operações de ransomware Conti e Diavol, o Grupo de Análise de Ameaças do Google diz que o ator começou a soltar Bumblebee, em vez do malware BazarLoader normal, para entregar Cobalt Strike.
Eli Salem, principal caçador de ameaças e engenheiro reverso de malware da Cybereason, diz que as técnicas de implantação do Bumblebee são as mesmas do BazarLoader e do IcedID, ambos vistos no passado implantando o ransomware Conti. A Proofpoint confirma a descoberta de Salem, dizendo que eles observaram campanhas de phishing em que “o Bumblebee [foi] usado por vários atores de ameaças de crimeware observados anteriormente entregando BazaLoader e IcedID”.
A empresa também observa que “vários atores de ameaças que normalmente usam o BazaLoader em campanhas de malware fizeram a transição para o Bumblebee” para descartar o shellcode e as estruturas Cobalt Strike, Sliver e Meterpreter projetadas para avaliação de segurança da equipe vermelha. Ao mesmo tempo, o BazaLoader está ausente dos dados da Proofpoint desde fevereiro.
Em um relatório, a Proofpoint diz que observou várias campanhas de e-mail distribuindo o Bumblebee em anexos ISO que continham arquivos de atalho e DLL. Uma campanha aproveitou uma isca de documento DocuSign que levou a um arquivo ZIP com um contêiner ISO malicioso hospedado no serviço de armazenamento em nuvem OneDrive da Microsoft.
Os pesquisadores dizem que o e-mail malicioso também incluiu um anexo HTML que apareceu como um e-mail para uma fatura não paga, diz a Proofpoint. Os pesquisadores detectaram outra campanha em abril que sequestrou tópicos de e-mail para entregar o carregador de malware Bumblebee em respostas ao alvo com um anexo ISO arquivado.
Embora não tenha encontrado evidências inegáveis, a Proofpoint acredita que os agentes de ameaças que implantam o Bumblebee são agentes iniciais de acesso à rede que trabalham com agentes de ransomware.
Via: BleepingComputer