Компания Proofpoint отследила новый загрузчик вредоносного ПО под названием Bumblebee, используемый несколькими субъектами преступных угроз, ранее замеченными в поставках BazaLoader и IcedID.
Bumblebee
Начиная с марта 2022 года, компания Proofpoint наблюдала кампании по доставке нового загрузчика под названием Bumblebee. В настоящее время Bumblebee распространяют как минимум три кластера активности, включающие известных субъектов угроз. Кампании, выявленные Proofpoint, пересекаются с деятельностью, подробно описанной в блоге Google Threat Analysis Group, которая привела к появлению программ Conti и Diavol ransomware.
Bumblebee - это сложный загрузчик, содержащий проверки антивиртуализации и уникальную реализацию обычных возможностей загрузчика, несмотря на то, что вредоносная программа находится на ранней стадии разработки. Целью Bumblebee является загрузка и выполнение дополнительных полезных нагрузок. Исследователи Proofpoint наблюдали, как Bumblebee сбрасывал Cobalt Strike, шеллкод, Sliver и Meterpreter. Название вредоносной программы происходит от уникального User-Agent "bumblebee", использовавшегося в ранних кампаниях.
Рост числа Bumblebee в списке угроз совпадает с популярной полезной нагрузкой BazaLoader, облегчающей последующие компрометации, которая недавно исчезла из данных об угрозах Proofpoint.
Исследователи Proofpoint заметили, что Bumblebee распространяется в кампаниях по электронной почте как минимум тремя отслеживаемыми угрожающими субъектами. Угрожающие субъекты использовали множество методов для распространения Bumblebee. Хотя приманки, способы доставки и имена файлов обычно подбираются индивидуально для разных угроз, Proofpoint заметила несколько общих черт в кампаниях, например, использование ISO-файлов, содержащих файлы ярлыков и DLL, а также общую точку входа DLL, используемую несколькими угрозами в течение одной недели.
Indicators of Compromise
IPv4
- 103.175.16.45
- 103.175.16.46
- 104.168.236.99
- 108.62.118.236
- 108.62.118.56
- 108.62.118.61
- 108.62.118.62
- 108.62.12.12
- 116.202.251.3
- 130.0.236.214
- 138.201.190.52
- 141.98.80.175
- 142.234.157.93
- 142.91.3.109
- 142.91.3.11
- 149.255.35.167
- 154.56.0.214
- 154.56.0.216
- 168.119.62.39
- 172.241.27.146
- 172.241.29.169
- 185.106.123.74
- 185.156.172.62
- 192.236.198.63
- 193.29.104.176
- 199.195.254.17
- 199.80.55.44
- 209.141.59.96
- 209.151.144.223
- 213.227.154.158
- 213.232.235.105
- 23.106.160.120
- 23.106.160.39
- 23.108.57.13
- 23.227.198.217
- 23.254.202.59
- 23.81.246.187
- 23.82.140.133
- 23.82.141.184
- 23.82.19.208
- 23.83.133.1
- 23.83.133.182
- 23.83.133.216
- 23.83.134.110
- 23.83.134.136
- 28.11.143.222
- 37.72.174.9
- 45.11.19.224
- 45.140.146.244
- 45.140.146.30
- 45.147.229.177
- 45.147.229.23
- 45.147.231.107
- 49.12.241.35
- 71.1.188.122
- 79.110.52.191
- 85.239.53.25
- 89.222.221.14
- 89.44.9.135
- 89.44.9.235
- 91.213.8.23
- 91.90.121.73
- 93.95.229.160
SHA1
- 4a35fa2f0903f7ba73ac21564a5a0e2a25374e10
- 5dbb3bbc57653c348be7778628ed0ef11ffef35d
- 5c8f7465ba67138e58d3ca61e4346e31c2b799d8
- 0785d0c5600d9c096b75cc4465be79d456f60594
SHA256
- c6ef53740f2011825dd531fc65d6eba92f87d0ed1b30207a9694c0218c10d6e0
- a72538ba00dc95190d6919756ffce74f0b3cf60db387c6c9281a0dc892ded802
- 77f6cdf03ba70367c93ac194604175e2bd1239a29bc66da50b5754b7adbe8ae4
- 0faa970001791cb0013416177cefebb25fbff543859bd81536a3096ee8e79127
- fe7a64dad14fe240aa026e57615fc3a22a7f5ba1dd55d675b1d2072f6262a1
- 08cd6983f183ef65eabd073c01f137a913282504e2502ac34a1be3e599ac386b