Phần mềm độc hại Bumblebee đã xuất hiện trở lại trong các cuộc tấn công mới lạm dụng các thư mục WebDAV

Trình tải phần mềm độc hại ‘Bumblebee’ đã xuất hiện trở lại sau hai tháng bằng một chiến dịch mới sử dụng các kỹ thuật phân phối mới lạm dụng các dịch vụ WebDAV 4shared.




WebDAV (Nhà phân phối và tạo phiên bản web) là phần mở rộng của giao thức HTTP cho phép khách hàng thực hiện các hoạt động soạn thảo từ xa như tạo, truy cập, cập nhật và xóa nội dung máy chủ web.


Các nhà nghiên cứu của Intel471 cho biết rằng chiến dịch mới nhất của Bumblebee bắt đầu vào ngày 7 tháng 9 năm 2023, lạm dụng các dịch vụ WebDAV 4shared để phân phối trình tải, điều chỉnh chuỗi tấn công và thực hiện một số hành động sau lây nhiễm.


Việc lạm dụng nền tảng 4shared, một nhà cung cấp dịch vụ lưu trữ tệp hợp pháp và nổi tiếng, giúp các nhà vận hành Bumblebee lẩn tránh danh sách chặn và sử dụng tính khả dụng của cơ sở hạ tầng cao.


Đồng thời, giao thức WebDAV cung cấp cho chúng nhiều cách để vượt qua các hệ thống phát hiện hành vi và lợi thế bổ sung là phân phối hợp lý, chuyển đổi tải trọng dễ dàng, v.v.


Email rác

Chiến dịch Bumblebee hiện tại dựa vào các email malspam giả vờ quét, hóa đơn và thông báo để dụ người nhận tải xuống các tệp đính kèm độc hại.


Hầu hết các tệp đính kèm là tệp LNK lối tắt Windows, nhưng cũng có một số kho lưu trữ ZIP chứa tệp LNK, có thể là dấu hiệu cho thấy các nhà khai thác Bumblebee đang thử nghiệm để xác định xem tệp nào hoạt động tốt nhất.

Tệp đính kèm được quan sát trong chiến dịch (Intel471)




Việc mở tệp LNK sẽ khởi chạy một loạt lệnh trên máy của nạn nhân, bắt đầu bằng lệnh gắn thư mục WebDAV vào ổ đĩa mạng bằng thông tin xác thực được mã hóa cứng cho tài khoản lưu trữ 4shared.


4Shared là trang chia sẻ tệp cho phép người dùng lưu trữ tệp trên đám mây và truy cập chúng qua WebDAV, FTP và SFTP. Dịch vụ này trước đây đã được liệt kê trong báo cáo Thị trường khét tiếng năm 2016 của chính phủ Hoa Kỳ về việc lưu trữ nội dung có bản quyền.


Hiện Intel471 cũng phát hiện ra một số biến thể của bộ lệnh, từ việc gắn các bản sao tệp, giải nén và thực thi các tệp từ ổ đĩa được gắn, đây là một dấu hiệu khác của việc dùng thử để tối ưu hóa.

Payload độc hại được lưu trữ trên 4shared (Intel471)




Báo cáo của Intel471 cho thấy các tác nhân đe dọa đang thử nghiệm các phương pháp khác nhau để gắn các bản sao tệp, giải nén và thực thi các tệp từ ổ đĩa được gắn, cho thấy chúng đang cố gắng tối ưu hóa chuỗi tấn công.


Bumblebee mới

Các nhà phân tích cũng đã phát hiện một phiên bản cập nhật của trình tải phần mềm độc hại Bumblebee đang được sử dụng trong chiến dịch này, phiên bản này đã chuyển từ sử dụng giao thức WebSocket sang TCP để liên lạc với máy chủ chỉ huy và kiểm soát (C2).


Ngoài ra, trình tải mới đã bỏ việc sử dụng địa chỉ C2 được mã hóa cứng. Hiện tại, nó sử dụng thuật toán tạo miền (DGA) để tạo 100 miền trên không gian miền cấp cao nhất (TLD) “.life” khi thực thi.


Các miền được tạo bằng giá trị hạt giống tĩnh 64 bit và Bumblebee kết nối với chúng bằng cách lặp qua danh sách đã tạo cho đến khi tìm thấy một danh sách phân giải thành địa chỉ IP máy chủ C2 đang hoạt động.


Bumblebee trước đây được cho là có liên quan đến việc phân phối payload ransomware, bao gồm cả Conti và Akira, vì vậy việc chúng áp dụng một kênh hoạt động hiệu quả và khó nắm bắt hơn là một sự phát triển đáng lo ngại.


Ngoài ra, việc áp dụng DGA khiến việc lập bản đồ cơ sở hạ tầng của Bumblebee để chặn các miền của nó trở nên khó khăn hơn và làm gián đoạn đáng kể hoạt động của nó, đồng thời tăng thêm độ phức tạp trong việc triển khai hành động phòng ngừa chống lại trình tải phần mềm độc hại.

Nguồn: bleepingcomputer.com

Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Nguồn : https://www.john-partners.us/phan-mem-doc-hai-bumblebee-da-xuat-hien-tro-lai-trong-cac-cuoc-tan-cong-moi-lam-dung-cac-thu-muc-webdav


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »