Actualités

A des fins de ransomwares ou possiblement le successeur de BazaLoader : apparition de Bumblebee, une charge multi-virale dégainant, notamment, CobaltStrike !

En raison de la présence d’un user-agent portant le même nom, Bumblebee a été observé par les équipes de ProofPoint depuis, au moins, le mois de Mars 2022. Qualifié de charge “sophistiquée” il s’avère assez avancé en terme de viralité (multiples) et de conception (code), malgré une existence logicielle encore assez récente. Du fait que BazaLoader ne présente actuellement plus d’activité palpable dans le paysage cyber-sécuritaire, Bumblebee serait vu comme le remplaçant “direct” de BazaLoader.

 

 

 

La viralité prend lieu depuis un simple mail ou courrier numérique (trois campagnes, trois cyber-attaques distinctes déjà observées qui possèdent des vecteurs communs en terme de modus operandi et de distribution de la viralité, d’où la corrélation supposée) via un lien (“review the document” – DocuSign : une fois le lien cliqué, la charge virale est téléchargée depuis OneDrive) renfermant un fichier ISO : en réalité, ce dernier recèle une DLL compromise ainsi que des fichiers-raccourcis. Une PJ était, aussi, présente : celle-ci renfermait un fichier HTML déguisé sous une facture impayée. Derrière ce faux document réside un lien de re-direction (cookies) sous Prometheus TDS qui filtrera les communications ou le trafic (des victimes vers les cyber-attaquants) en fonction du fuseau-horaire du pays et des cookies du terminal ciblé. Une fois cette re-direction effectuée, le fichier ISO (ZIP) est téléchargé (depuis OneDrive, également) est extrait les fichiers attachme.Ink (lui-même exécutant joints.dat) puis le chargeur (loader) Bumblebee. Selon les conclusions des chercheurs sécuritaires, les cyber-attaquants TA579 (ayant, notamment, exploité BazaLoader et IceID) seraient à l’initiative de la viralité.

Côté technique, Bumblebee est conçu en C++. “La majorité du chargeur Bumblebee est condensée en une seule fonction contrairement à la plupart des logiciels malveillants où l’initialisation, l’envoi de requêtes et la gestion des réponses sont répartis en différentes fonctions. Le chargeur commence par copier l’ID de groupe qui est effectivement utilisé comme identifiant de botnet. Contrairement à la plupart des autres logiciels malveillants, Bumblebee a actuellement sa configuration stockée en clair, mais Proofpoint soupçonne que l’obscurcissement pourrait être ajouté à l’avenir. Une fois l’ID de groupe copié, le chargeur résout les adresses pour diverses fonctions NTDLL qui lui permettent d’effectuer correctement l’injection plus tard dans le processus de chargement“, expliquent les chercheurs qui ont mis en lumière, post-analyse de l’algorithme des échantillons, une structure sous hachage MD5 mais, avant tout, une viralité exploitant un serveur command-and-control (InsCMD pour la persistance du DLL, DEXCMD pour l’exécution du contenu décodé en base64, DijCMD pour l’injection de DLL dans la mémoire-processus) avec communication chronique (toutes les 25 secondes !) pour optimiser les échanges et la données (actualisation) : “contrairement à la plupart des logiciels malveillants qui ont un ensemble de modules ou de charges utiles qui sont immédiatement renvoyés au bot, il semble que les acteurs derrière ce logiciel malveillant déploient manuellement des charges utiles sur Bumblebee car cela peut prendre plusieurs heures avant qu’il ne reçoive des tâches à exécuter. Chaque réponse du serveur contient une variation des données présentées dans la figure ci-dessous. Si des tâches valides sont renvoyées, la valeur « tâches » sera une liste de dictionnaires contenant toutes les informations sur les tâches“. Ce serveur peut opérer : une injection de code (Shell), une injection de DLL(s), le téléchargement d’un exécutable, la désinstallation du loader-chargeur ou encore la diffusion de la persistance depuis le bot.

 

 

D’autres traces (campagnes) ont été observées en Avril 2022 : fondées sur des cyber-attaques par hijackinget nommées doc_invoice_[numero].zip, ces campagnes distribuaient la viralité en PJ (ISO) via un ZIP protégé par mot de passe (répercuté dans le mail de phishing) : le fichier recelait une charge DLL (tar.dll) et un autre fichier (document.Ink) qui se mettait en raccourci.

 

 

Une autre campagne, à nouveau observée en Mars 2022, hameçonnait les victimes depuis des sites Web, au détour d’un formulaire de contact : il était question “d’images volées” sur le site ainsi ciblé. Une fois le mail ouvert, la PJ (ISO) délivrait une dll (neqw.dll) et un autre fichier (document_stolenimages.Ink). Selon les conclusions des chercheurs, les cyber-attaquants à l’origine de cette campagne pourraient être le cyber-groupe TA578 (Ursnif, IceID, KPotStealer, BuerLoder, BazaLoader ou encore le redoutable CobaltStrike).

 

Bumblebee, identifié en tant que loader-chargeur de premier niveau depuis 2020 (notamment via Conti), pourrait être une viralité intermédiaire : en effet et toujours selon les analyses de ProofPoint, le loader serait opéré avant une éventuelle revente de l’information ex-filtrée par ses soins à d’autres cyber-attaquants de plus grande envergure ou qui aurait un besoin de ce type de données pour des cyber-attaques de type ransomware. Une trace a ainsi été observé dans ce sens en Février 2022. Concernant Conti, les récentes ex-filtrations de données (internes) du cyber-groupe ont pu étayer une relation entre Bumblebee et la disparition (activité) de BazaLoader.

 

Un mois après les campagnes“, Bumblebee a été mis à jour : des contrôles “antiVM et antiSandbox” ont été intégrés. De plus et au 19 Avril 2022, un support de multiples serveurs command-and-control a été ajouté et l’intervalle-réponse (25 secondes) est randomisé (valeur). Un chiffrement (RC4 – clé en dur) est, également, intégré.

 

Enfin et concernant une mise à jour remontant au 22 Avril 2022, un nouveau fil d’exécution (thread) est supporté : positionné en tout début du loader (code), celui-ci “vérifie les processus en cours d’exécution” depuis un listing (codé en dur) ; avec un arrêt de Bumblebee si une valeur du listing est pointée (logiciel) avec les processus-système actifs… A veiller !

 

 

 

 

Source : Blog ProofPoint – 28 Avril 2022 – Bumblebee : avènement d’un loader de premier niveau (successeur de BazaLoader supposé – affiliation potentielle avec Conti).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6