Исследователи компании Proofpoint обнаружили возвращение вредоносной программы Bumblebee в ряды киберпреступных угроз 8 февраля 2024 года после четырехмесячного отсутствия в данных об угрозах Proofpoint. Bumblebee - это сложный загрузчик, используемый многими киберпреступниками, и он был излюбленной полезной нагрузкой с момента своего первого появления в марте 2022 года по октябрь 2023 года, после чего исчез.
Bumblebee
В ходе февральской кампании Proofpoint обнаружила несколько тысяч электронных писем, направленных на организации в США, с темой "Voicemail February" от отправителя "info@quarlesaa[.]com", которые содержали URL-адреса OneDrive. URL-адреса вели к файлам Word с такими именами, как "ReleaseEvans#96.docm" (цифры перед расширением файла варьировались). Документ Word подделывался под компанию Humane, производящую бытовую электронику.
В документе использовались макросы для создания скрипта во временном каталоге Windows, например "%TEMP%/radD7A21.tmp", с использованием содержимого CustomDocumentProperties SpecialProps, SpecialProps1, SpecialProps2 и SpecialProps3. Затем макрос выполнил сброшенный файл с помощью "wscript".
Внутри сброшенного временного файла находилась команда PowerShell, которая загружала и выполняла следующий этап с удаленного сервера, хранящегося в файле "update_ver".
Примечательно, что злоумышленник использует в цепочке атак документы с макросами VBA, поскольку большинство киберпреступников почти перестали их использовать, особенно те, кто доставляет полезную нагрузку, которая может выступать в качестве начального доступа для последующих действий с выкупом. В 2022 году Microsoft начала блокировать макросы по умолчанию, что привело к масштабному изменению ландшафта цепочек атак, в которых стали использоваться более необычные типы файлов, эксплуатация уязвимостей, объединение URL-адресов и вложений, цепочки скриптовых файлов и многое другое.
Еще одной примечательной особенностью этой кампании является то, что цепочка атак значительно отличается от ранее наблюдавшихся кампаний Bumblebee. В предыдущих кампаниях, распространявших Bumblebee с конфигурацией "NEW_BLACK", использовались следующие примеры:
- Письма, содержащие URL-адреса, ведущие к загрузке DLL, которая при выполнении запускала Bumblebee.
- Письма с HTML-вложениями, которые использовали HTML-контрабанду для передачи RAR-файла. В случае выполнения он использовал уязвимость WinRAR CVE-2023-38831 для установки Bumblebee.
- Письма с защищенными паролем вложениями VBS, которые в случае выполнения использовали PowerShell для загрузки и выполнения Bumblebee.
- Письма, содержащие заархивированные LNK-файлы для загрузки исполняемого файла. Если его выполнить, то .exe запускал Bumblebee.
Из почти 230 кампаний с использованием Bumblebee, выявленных с марта 2022 года, только в пяти использовались макросы; в четырех кампаниях использовались макросы XL4, а в одной - макросы VBA.
Indicators of Compromise
IPv4
- 213.139.205.131
IPv4 Port Combinations
- 49.13.76.144:443
Domains
- q905hr35.life
URLs
- http://213.139.205.131/update_ver
- http://213.139.205.131/w_ver.dat
- https://1drv.ms/w/s!At-ya4h-odvFe-M3JKvLzB19GQA?e=djPGy
- https://1drv.ms/w/s!AuSuRB5deTxugQ-83_HzIqbBWuE1?e=9f2plW
SHA256
- 0cef17ba672793d8e32216240706cf46e3a2894d0e558906a1782405a8f4decf
- 2bc95ede5c16f9be01d91e0d7b0231d3c75384c37bfd970d57caca1e2bbe730f
- 86a7da7c7ed5b915080ad5eaa0fdb810f7e91aa3e86034cbab13c59d3c581c0e
- c34e5d36bd3a9a6fca92e900ab015aa50bb20d2cd6c0b6e03d070efe09ee689a