Bumblebee Loader IOCs - Part 7

security IOC

Команда Cybereason Global Security Operations Center (GSOC) выпускает отчеты Cybereason Threat Analysis Reports для информирования о влияющих угрозах.

BumbleBee Loader IOCs

BumbleBee Loader

  • Исполнение под управлением пользователя: Большинство заражений Bumblebee, которые мы наблюдали, начинались с выполнения конечными пользователями LNK-файлов, которые используют системный бинарник для загрузки вредоносной программы. Распространение вредоносной программы происходит посредством фишинговых писем с вложением или ссылкой на вредоносный архив, содержащий Bumblebee.
  • Интенсивная разведка и утечка данных: Операторы Bumblebee проводят интенсивную разведку и перенаправляют результаты выполненных команд в файлы для эксфильтрации.
  • Компрометация Active Directory: злоумышленники скомпрометировали Active Directory и использовали конфиденциальные данные, такие как логины и пароли пользователей, для латерального перемещения. Время, прошедшее с момента получения первоначального доступа до компрометации Active Directory, составило менее двух дней.
  • В стадии активной разработки: Cybereason GSOC наблюдал, как угрожающие субъекты переходят от BazarLoader, Trickbot и IcedID к Bumblebee, который, похоже, находится в активной разработке и в целом является предпочтительным загрузчиком для многих угрожающих субъектов.
  • Критическая серьезность: Атаки с использованием Bumblebee должны рассматриваться как критические. Исходя из выводов GSOC, следующим шагом угрожающих субъектов является развертывание программ-выкупов, а этот загрузчик известен для доставки программ-выкупов.

В марте 2022 года группой анализа угроз Google был обнаружен новый загрузчик вредоносных программ. Этот загрузчик получил название Bumblebee из-за уникального пользовательского агента "Bumblebee", который используется как часть связи с командно-контрольным сервером (C2).

Cybereason GSOC наблюдал распространение загрузчика через фишинговые письма, содержащие архивы с файлами ISO в качестве вложений или ссылки для загрузки архива из внешних источников. Первоначальное выполнение зависит от конечного пользователя, который должен извлечь архив, смонтировать файл образа ISO и щелкнуть по файлу ярлыка Windows (LNK).

После первоначального выполнения наиболее заметными действиями после эксплойта, выполняемыми Bumblebee, являются повышение привилегий, разведка и кража учетных данных, которые подробно описаны в данном отчете.

Операторы Bumblebee используют фреймворк Cobalt Strike на протяжении всей атаки. Угрожающие субъекты используют полученные учетные данные для доступа к Active Directory и создания копии файла ntds.dit, содержащего данные для всей Active Directory. Наконец, учетная запись администратора домена используется для перемещения вбок, создания локальных учетных записей пользователей и эксфильтрации данных с помощью программного обеспечения Rclone.

Cybereason GSOC наблюдал, как угрожающие субъекты переходят от BazarLoader, Trickbot и IcedID к Bumblebee, который, по-видимому, находится в активной разработке и в целом является наиболее предпочтительным загрузчиком для многих угрожающих субъектов.

Indicators of Compromise

IPv4

  • 185.62.56.129

SHA1

  • 4acc9ddf7f23109216ca22801ac75c8fabb97019
SEC-1275-1
Добавить комментарий