Sinds maart 2022 heeft Proofpoint campagnes waargenomen waarbij een nieuwe downloader, genaamd Bumblebee, werd verspreid. Ten minste drie clusters van activiteit, waaronder van bekende cybercriminele groepen, verspreiden momenteel Bumblebee.
Bumblebee is een geavanceerde downloader met anti-virtualisatiefuncties en een unieke combinatie van veelgebruikte downloader-mogelijkheden. En dat terwijl het nog een relatief 'jonge' malware is. Het doel van Bumblebee is om extra payloads te downloaden en uit te voeren. Onderzoekers van Proofpoint hebben waargenomen dat Bumblebee onder andere Cobalt Strike, shellcode, Sliver en Meterpreter verspreidt.
De toenemende verspreiding van Bumblebee valt samen met de recente verdwijning van BazaLoader, een populaire payload die vervolgaanvallen mogelijk maakt.
Details van de campagne
Onderzoekers van Proofpoint hebben waargenomen dat Bumblebee wordt gedistribueerd in e-mailcampagnes door ten minste drie cybercrriminele groepen. Hoewel de berichten, aflevertechnieken en bestandsnamen meestal worden afgestemd op de spelers die de campagnes verspreiden, heeft Proofpoint verschillende overeenkomsten tussen de campagnes waargenomen. Zo werden door meerdere groepen binnen één week ISO-bestanden met snelkoppelingen en DLL's gebruikt, evenals een gemeenschappelijk DLL-ingangspunt.
1.URL's en HTML-bijlagen die naar Bumblebee leiden
In maart observeerde Proofpoint een e-mailcampagne met DocuSign als thema. Deze bevatte twee verschillende manieren om een slachtoffer te verleiden een schadelijk ISO-bestand te downloaden. Bij de eerste manier moest de ontvanger klikken op een "REVIEW THE DOCUMENT"-link in een e-mail. Zodra hierop werd geklikt, werd de gebruiker doorgestuurd naar een gezipt ISO-bestand dat werd gehost op OneDrive.
Afbeelding 1: e-mail van maart 2022 met een URL en een HTML-bijlage
Bij de andere manier bevatte dezelfde e-mail ook een HTML-bijlage. Het geopende HTML-bestand zag eruit als een e-mail met een link naar een onbetaalde factuur. De ingesloten URL in de HTML-bijlage maakte gebruik van een redirect. Hierbij werd de gebruiker doorverwezen naar een gezipt ISO-bestand, dat ook op OneDrive werd gehost.
Het ISO-bestand bevatte documenten met de namen "ATTACHME.LNK" en "Attachments.dat". Bij het uitvoeren van het "ATTACHME.LNK"-bestand werd "Attachments.dat" uitgevoerd, dat op zijn beurt de downloader Bumblebee activeerde.
Onderzoekers van Proofpoint schrijven deze campagne toe aan de cybercriminele groep TA579. Deze groep verspreidde in het verleden vaak BazaLoader en IcedID.
2.Gezipte ISO-bijlage leidt naar Bumblebee
In april 2022 ontdekte Proofpoint een thread-hijacking campagne met e-mails die leken te verwijzen naar bestaande, legitieme e-mails, alleen bevatten ze schadelijke, gezipte ISO-bijlagen.
De gezipte ISO was beveiligd met een wachtwoord en bevatte "DOCUMENT.LNK" en "tar.dll". Het wachtwoord werd gedeeld in de body van de e-mail. De snelkoppeling "DOCUMENT.LNK", indien uitgevoerd, voerde vervolgens "tar.dll" uit om Bumblebee te activeren.
3.Contactformulier leidt naar Bumblebee
In maart 2022 observeerde Proofpoint een campagne waarbij e-mails werden verstuurd door een bericht in te dienen op een contactformulier op de website van het doelwit. Bovendien, afhankelijk van hoe de contactpagina van de website was geconfigureerd, liet de aanvaller ook opmerkingen achter op de site van het doelwit. In de e-mails werd beweerd dat er gestolen afbeeldingen op de website stonden.
Afbeelding 2: Voorbeeld van een e-mail met een link naar een landingspagina
De "klacht" bevatte een link naar een landingspagina die de gebruiker naar de download van een ISO-bestand met "DOCUMENT_STOLENIMAGES.LNK" en "neqw.dll") leidde. De snelkoppeling voerde "neqw.dll" uit om Bumblebee te activeren.
Afbeelding 3: Contactformulier-aanvalsketen die leidt naar Bumblebee
Proofpoint schrijft deze campagne toe aan TA578, een dreigingsgroep die onderzoekers van Proofpoint sinds mei 2020 volgen. TA578 is eerder waargenomen in e-mail-gebaseerde aanvallen die Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, en Cobalt Strike leveren.
Verband met andere malware
Het gebruik van Bumblebee door meerdere dreigingsgroepen, de timing en het gedrag, kan worden gezien als een opmerkelijke verandering in het dreigingslandschap. Bovendien acht Proofpoint de kans groot dat de partijen die Bumblebee gebruiken, fungeren als initial access facilitators: onafhankelijke cybercriminele groepen die belangrijke doelwitten infiltreren en vervolgens die toegang verkopen aan ransomware-criminelen.
Ten minste drie bekende dreigingsgroepen die normaliter BazaLoader-malware verspreiden, zijn overgestapt op Bumblebee payloads, waarbij BazaLoader in februari 2022 voor het laatst in Proofpoint-data is voorgekomen.