Novo carregador de malware Bumblebee cada vez mais adotado por grupos de ameaças cibernéticas

Conti, Quantum e Mountlocker estavam todos ligados ao uso do novo software para injetar sistemas com ransomware.

Um carregador de malware recentemente descoberto chamado Bumblebee foi encontrado conectado a vários grupos de ransomware proeminentes e tem sido um componente-chave de muitos ataques cibernéticos. Novas descobertas da equipe Symantec Threat Hunter, parte da Broadcom Software, descobriram que a ferramenta tem links para grupos de ameaças como Conti, Quantum e Mountlocker, de acordo com a entrada do blog da equipe.

De acordo com a equipe de caçadores de ameaças da Symantec, o carregador Bumblebee pode ter sido usado como substituto do Trickbot e BazarLoader, devido à sobreposição em atividades recentes envolvendo o Bumblebee e ataques mais antigos vinculados a esses carregadores.

“[Bumblebee] parece ter substituído vários carregadores mais antigos, o que sugere que é o trabalho de atores estabelecidos e que a transição para o Bumblebee foi pré-planejada”, escreveu a equipe em seu blog.

Como o carregador Bumblebee se torna uma ameaça

Um ataque específico destacado pela equipe decorrente do Quantum ransomware detalhou como o carregador Bumblebee é colocado em prática. A infecção inicial veio através do uso de um e-mail de spear phishing, que tinha um anexo de um arquivo ISO. O arquivo malicioso em questão estava equipado com um arquivo DLL Bumblebee e um arquivo LNK, que então carregava o arquivo Bumblebee usando rundll32.exe.

O carregador do Bumblebee supostamente entrou em contato com um servidor de comando e controle de acordo com a equipe e criou um arquivo duplicado na pasta %APPDATA% com um nome aleatório. Em conjunto com isso, um arquivo VBS também foi criado no mesmo local. Em seguida, o carregador organizou uma tarefa agendada para executar o arquivo VBS a cada 15 minutos. Depois de algumas horas, o carregador lançou uma carga útil Cobalt Strike. Essa ação levou a dois pontos adicionais: um é que a DLL do Metasploit foi injetada em um processo legítimo do Windows e o segundo veio de uma ferramenta AdFind para coletar informações do sistema, como usuários de domínio e permissões de grupo para o sistema.

Depois que essa tarefa foi concluída, o Quantum ransomware foi descarregado pelo Bumblebee, permitindo que o grupo de ransomware criptografasse os arquivos do sistema de destino. Uma vez no sistema, a Quantum conseguiu raspar o sistema para obter informações do usuário usando a Instrumentação de Gerenciamento do Windows. A carga do ransomware também desativou todos os processos relacionados à identificação de malware.

VEJO: Política de segurança de dispositivos móveis (TechRepublic )

A conexão de Bumblebee com ataques anteriores

Devido ao uso das ferramentas mencionadas anteriormente por Bumblebee, acredita-se que há uma conexão entre o novo carregador e os usados ​​anteriormente por grupos cibercriminosos. Um desses links vem do uso do AdFind, uma ferramenta publicamente disponível para consultar o Active Directory e que já foi usada por outros adversários no ado. A implantação de um arquivo ISO com a intenção de infectar um sistema também foi o ponto inicial de infecção para vítimas em ataques anteriores, desde junho de 2021 e usado pelos grupos de ameaças Ryuk e Conti.

Outro link vem do uso de um script em lote conhecido como adf.bat. O script em lote foi vinculado a ataques cibernéticos desde novembro de 2021, juntamente com o uso da ferramenta AdFind nesses ataques. Nesse caso, o carregador foi determinado como BazarLoader.

Muitos dos ataques que estão sendo investigados pela equipe Threat Hunter também encontraram o uso de ferramentas de software legítimas dentro dos próprios ataques. Para organizações que empregam ferramentas de área de trabalho remota, isso pode causar grandes problemas, tendo sido vinculado a várias implantações de ransomware e fins de exfiltração de dados. A equipe da Symantec recomenda que usuários e empresas fiquem atentos a esse novo carregador de malware e aos recursos que ele possui.