Команда Cybereason Global Security Operations Center (GSOC) выпускает отчеты Cybereason Threat Analysis Reports для информирования о влияющих угрозах.
BumbleBee Loader IOCs
- Bumblebee Loader IOCs
- Bumblebee Malware IOCs - Part 4
- Bumblebee Malware IOCs - Part 3
- Bumblebee Malware IOCs
- BumbleBee Loader IOCs - Part 5
- BumbleBee Loader IOCs - Part 6
BumbleBee Loader
- Исполнение под управлением пользователя: Большинство заражений Bumblebee, которые мы наблюдали, начинались с выполнения конечными пользователями LNK-файлов, которые используют системный бинарник для загрузки вредоносной программы. Распространение вредоносной программы происходит посредством фишинговых писем с вложением или ссылкой на вредоносный архив, содержащий Bumblebee.
- Интенсивная разведка и утечка данных: Операторы Bumblebee проводят интенсивную разведку и перенаправляют результаты выполненных команд в файлы для эксфильтрации.
- Компрометация Active Directory: злоумышленники скомпрометировали Active Directory и использовали конфиденциальные данные, такие как логины и пароли пользователей, для латерального перемещения. Время, прошедшее с момента получения первоначального доступа до компрометации Active Directory, составило менее двух дней.
- В стадии активной разработки: Cybereason GSOC наблюдал, как угрожающие субъекты переходят от BazarLoader, Trickbot и IcedID к Bumblebee, который, похоже, находится в активной разработке и в целом является предпочтительным загрузчиком для многих угрожающих субъектов.
- Критическая серьезность: Атаки с использованием Bumblebee должны рассматриваться как критические. Исходя из выводов GSOC, следующим шагом угрожающих субъектов является развертывание программ-выкупов, а этот загрузчик известен для доставки программ-выкупов.
В марте 2022 года группой анализа угроз Google был обнаружен новый загрузчик вредоносных программ. Этот загрузчик получил название Bumblebee из-за уникального пользовательского агента "Bumblebee", который используется как часть связи с командно-контрольным сервером (C2).
Cybereason GSOC наблюдал распространение загрузчика через фишинговые письма, содержащие архивы с файлами ISO в качестве вложений или ссылки для загрузки архива из внешних источников. Первоначальное выполнение зависит от конечного пользователя, который должен извлечь архив, смонтировать файл образа ISO и щелкнуть по файлу ярлыка Windows (LNK).
После первоначального выполнения наиболее заметными действиями после эксплойта, выполняемыми Bumblebee, являются повышение привилегий, разведка и кража учетных данных, которые подробно описаны в данном отчете.
Операторы Bumblebee используют фреймворк Cobalt Strike на протяжении всей атаки. Угрожающие субъекты используют полученные учетные данные для доступа к Active Directory и создания копии файла ntds.dit, содержащего данные для всей Active Directory. Наконец, учетная запись администратора домена используется для перемещения вбок, создания локальных учетных записей пользователей и эксфильтрации данных с помощью программного обеспечения Rclone.
Cybereason GSOC наблюдал, как угрожающие субъекты переходят от BazarLoader, Trickbot и IcedID к Bumblebee, который, по-видимому, находится в активной разработке и в целом является наиболее предпочтительным загрузчиком для многих угрожающих субъектов.
Indicators of Compromise
IPv4
- 185.62.56.129
SHA1
- 4acc9ddf7f23109216ca22801ac75c8fabb97019