Завантажувач шкідливого програмного забезпечення Bumblebee порушив свою двомісячну відпустку новою кампанією, яка використовує нові методи розповсюдження, що зловживають службами 4shared WebDAV. Про це повідомляє Bleeping Computer.
WebDAV (Web Distributed Authoring and Versioning) – це розширення протоколу HTTP, яке дає змогу клієнтам виконувати операції віддаленого авторування, такі як створення, доступ, оновлення та видалення вмісту вебсервера.
Дослідники Intel471 повідомляють, що остання кампанія Bumblebee, яка почалася 7 вересня 2023 року, зловживає службами 4shared WebDAV для розподілу завантажувача, розміщення ланцюжка атак і виконання кількох дій після зараження.
Зловживання платформою 4shared, законним і добре відомим постачальником послуг розміщення файлів, допомагає операторам Bumblebee уникати списків блокування та користуватися високою доступністю інфраструктури.
Водночас протокол WebDAV надає їм кілька способів обійти системи виявлення поведінки та додаткову перевагу впорядкованого розподілу, легкого перемикання корисного навантаження тощо.
Спам-лист
Поточна кампанія Bumblebee покладається на шкідливі спамові електронні листи, які видають себе за скановані зображення, рахунки-фактури й сповіщення, щоб спонукати одержувачів завантажувати шкідливі вкладення.
Більшість вкладених файлів – це ярлики файлів LNK Windows, але є й деякі ZIP-архіви, що містять файли LNK. Імовірно, це ознака того, що оператори Bumblebee експериментують, щоб визначити, що працює найкраще.
Відкриття файлу LNK запускає низку команд на комп’ютері жертви, починаючи з команди для монтування папки WebDAV на мережевому диску за допомогою жорстко закодованих облікових даних для облікового запису 4shared storage.
4Shared – це сайт для обміну файлами, який дає змогу користувачам зберігати файли у хмарі й отримувати до них доступ через WebDAV, FTP і SFTP. Послуга була включена у список звіту Уряду США Notorious Markets за 2016 рік для розміщення захищеного авторським правом контенту.
Тут також Intel471 помітив кілька варіантів набору команд: монтування копій файлів, вилучення та виконання файлів із підключеного диска, що є ще одним свідченням пробної оптимізації.
Intel471 повідомляє, що зловмисники експериментують із різними методами монтування копій файлів, вилучення та виконання файлів із підключеного диска. Це вказує на те, що вони намагаються оптимізувати ланцюжок атак.
Новий Bumblebee
Аналітики помітили, що в цій кампанії використовується оновлена версія завантажувача зловмисного програмного забезпечення Bumblebee, яка перейшла з використання протоколу WebSocket на TCP для зв’язку із сервером керування (C2).
Крім того, новий завантажувач відмовився від використання жорстко закодованих адрес C2. Тепер він використовує алгоритм генерації домену (DGA) для створення 100 доменів у просторі домену верхнього рівня (TLD) «.life» після виконання.
Домени генеруються з використанням 64-розрядного статичного початкового значення, і Bumblebee підключається до них, переглядаючи створений список, доки не знайде той, який вирішує активну IP-адресу сервера C2.
Bumblebee раніше асоціювали із розповсюдженням програм-вимагачів, зокрема Conti й Akira, тому прийняття більш ефективного та невловимого каналу розповсюдження викликає тривогу.
До того ж впровадження DGA ускладнює відображення інфраструктури Bumblebee, блокує його домени й значно порушує його роботу. Це створює додаткові складнощі у впровадженні профілактичних дій проти завантажувача зловмисного програмного забезпечення.
Раніше ми повідомляли, що фішингова атака Microsoft Teams просуває зловмисне програмне забезпечення DarkGate.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
