![[SGF23]Cyberpunk 2077 : plus de détails confirmés par CD Projekt RED, courant Juin 2023, pour Phantom Liberty ! (au détour d’un certain SGF…)](https://blog.sosordi.net/wp-content/uploads/2023/03/cd-projekt-red_cyberpunk-2077_dlc-phantom-liberty-330x180.jpg?x58390 "[SGF23]Cyberpunk 2077 : plus de détails confirmés par CD Projekt RED, courant Juin 2023, pour Phantom Liberty ! (au détour d’un certain SGF…)")
![[SGF23]Xbox Games Showcase et Starfield Direct : deux showcases sur les dernières nouveautés de la division Xbox et Bethesda ! (show-chaud…)](https://blog.sosordi.net/wp-content/uploads/2023/03/starfield_bethesda-softworks_02-330x180.jpg?x58390 "[SGF23]Xbox Games Showcase et Starfield Direct : deux showcases sur les dernières nouveautés de la division Xbox et Bethesda ! (show-chaud…)")
![[A venir !] Summer Game Fest(ival) 2023 : les annonces video-ludiques délivrées dès le 8 Juin 2023 ! (heure française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/summer-game-fest-2023_vue-330x180.jpg?x58390 "[A venir !] Summer Game Fest(ival) 2023 : les annonces video-ludiques délivrées dès le 8 Juin 2023 ! (heure française…)")
![[E3 2023]”L’avenir de l’E3″ : clap de fin pour l’édition 2023 qui n’aura pas lieu… et pour le salon video-ludique ? (Ecouac…)](https://blog.sosordi.net/wp-content/uploads/2023/03/e3-2023_e3-330x180.jpg?x58390 "[E3 2023]”L’avenir de l’E3″ : clap de fin pour l’édition 2023 qui n’aura pas lieu… et pour le salon video-ludique ? (Ecouac…)")
![[MAJ 30 / 03]P60 Series, Mate X3, Enjoy 60, Watch Ultimate, Band B7, FreeBuds 5, FreeBuds Pro 2 Plus, MatePad 11, routeur Q6 Wi-fi 6 Plus, Qingyun S540 et G540… le récap’ des annonces printanières de Huawei, le 23 Mars 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/huawei_mate-x3_02-330x180.jpg?x58390 "[MAJ 30 / 03]P60 Series, Mate X3, Enjoy 60, Watch Ultimate, Band B7, FreeBuds 5, FreeBuds Pro 2 Plus, MatePad 11, routeur Q6 Wi-fi 6 Plus, Qingyun S540 et G540… le récap’ des annonces printanières de Huawei, le 23 Mars 2023 !")
![[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)](https://blog.sosordi.net/wp-content/uploads/2023/03/royaume-uni_lockdown-files_covid19_01-330x180.jpg?x58390 "[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)")
![[Rumeur]Galaxy S24 Ultra : le prochain terminal haut de gamme de Samsung sera dopé au Snapdragon 8 Gen3 !](https://blog.sosordi.net/wp-content/uploads/2023/03/samsung_galaxy-unpacked-2023_01-02-23_60-330x180.jpg?x58390 "[Rumeur]Galaxy S24 Ultra : le prochain terminal haut de gamme de Samsung sera dopé au Snapdragon 8 Gen3 !")
![[A venir !]WWDC 2023 : les annonces d’Apple entre le 5 Juin et le 9 Juin 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/apple_wwdc-2023_05-06-23_01-330x180.jpg?x58390 "[A venir !]WWDC 2023 : les annonces d’Apple entre le 5 Juin et le 9 Juin 2023 !")
![[A venir !]Lune : les annonces et actualisations du programme Artemis II de la NASA ! (prochaine étape, les êtres humains…)](https://blog.sosordi.net/wp-content/uploads/2023/03/nasa_csa_artemis-ii_01-330x180.jpg?x58390 "[A venir !]Lune : les annonces et actualisations du programme Artemis II de la NASA ! (prochaine étape, les êtres humains…)")
36.png){kind=small}
Tags populaires
0
En raison de la présence d’un user-agent portant le même nom, Bumblebee a été observé par les équipes de ProofPoint depuis, au moins, le mois de Mars 2022. Qualifié de charge “sophistiquée” il s’avère assez avancé en terme de viralité (multiples) et de conception (code), malgré une existence logicielle encore assez récente. Du fait que BazaLoader ne présente actuellement plus d’activité palpable dans le paysage cyber-sécuritaire, Bumblebee serait vu comme le remplaçant “direct” de BazaLoader.
La viralité prend lieu depuis un simple mail ou courrier numérique (trois campagnes, trois cyber-attaques distinctes déjà observées qui possèdent des vecteurs communs en terme de modus operandi et de distribution de la viralité, d’où la corrélation supposée) via un lien (“review the document” – DocuSign : une fois le lien cliqué, la charge virale est téléchargée depuis OneDrive) renfermant un fichier ISO : en réalité, ce dernier recèle une DLL compromise ainsi que des fichiers-raccourcis. Une PJ était, aussi, présente : celle-ci renfermait un fichier HTML déguisé sous une facture impayée. Derrière ce faux document réside un lien de re-direction (cookies) sous Prometheus TDS qui filtrera les communications ou le trafic (des victimes vers les cyber-attaquants) en fonction du fuseau-horaire du pays et des cookies du terminal ciblé. Une fois cette re-direction effectuée, le fichier ISO (ZIP) est téléchargé (depuis OneDrive, également) est extrait les fichiers attachme.Ink (lui-même exécutant joints.dat) puis le chargeur (loader) Bumblebee. Selon les conclusions des chercheurs sécuritaires, les cyber-attaquants TA579 (ayant, notamment, exploité BazaLoader et IceID) seraient à l’initiative de la viralité.
Côté technique, Bumblebee est conçu en C++. “La majorité du chargeur Bumblebee est condensée en une seule fonction contrairement à la plupart des logiciels malveillants où l’initialisation, l’envoi de requêtes et la gestion des réponses sont répartis en différentes fonctions. Le chargeur commence par copier l’ID de groupe qui est effectivement utilisé comme identifiant de botnet. Contrairement à la plupart des autres logiciels malveillants, Bumblebee a actuellement sa configuration stockée en clair, mais Proofpoint soupçonne que l’obscurcissement pourrait être ajouté à l’avenir. Une fois l’ID de groupe copié, le chargeur résout les adresses pour diverses fonctions NTDLL qui lui permettent d’effectuer correctement l’injection plus tard dans le processus de chargement“, expliquent les chercheurs qui ont mis en lumière, post-analyse de l’algorithme des échantillons, une structure sous hachage MD5 mais, avant tout, une viralité exploitant un serveur command-and-control (InsCMD pour la persistance du DLL, DEXCMD pour l’exécution du contenu décodé en base64, DijCMD pour l’injection de DLL dans la mémoire-processus) avec communication chronique (toutes les 25 secondes !) pour optimiser les échanges et la données (actualisation) : “contrairement à la plupart des logiciels malveillants qui ont un ensemble de modules ou de charges utiles qui sont immédiatement renvoyés au bot, il semble que les acteurs derrière ce logiciel malveillant déploient manuellement des charges utiles sur Bumblebee car cela peut prendre plusieurs heures avant qu’il ne reçoive des tâches à exécuter. Chaque réponse du serveur contient une variation des données présentées dans la figure ci-dessous. Si des tâches valides sont renvoyées, la valeur « tâches » sera une liste de dictionnaires contenant toutes les informations sur les tâches“. Ce serveur peut opérer : une injection de code (Shell), une injection de DLL(s), le téléchargement d’un exécutable, la désinstallation du loader-chargeur ou encore la diffusion de la persistance depuis le bot.
D’autres traces (campagnes) ont été observées en Avril 2022 : fondées sur des cyber-attaques par hijackinget nommées doc_invoice_[numero].zip, ces campagnes distribuaient la viralité en PJ (ISO) via un ZIP protégé par mot de passe (répercuté dans le mail de phishing) : le fichier recelait une charge DLL (tar.dll) et un autre fichier (document.Ink) qui se mettait en raccourci.
Une autre campagne, à nouveau observée en Mars 2022, hameçonnait les victimes depuis des sites Web, au détour d’un formulaire de contact : il était question “d’images volées” sur le site ainsi ciblé. Une fois le mail ouvert, la PJ (ISO) délivrait une dll (neqw.dll) et un autre fichier (document_stolenimages.Ink). Selon les conclusions des chercheurs, les cyber-attaquants à l’origine de cette campagne pourraient être le cyber-groupe TA578 (Ursnif, IceID, KPotStealer, BuerLoder, BazaLoader ou encore le redoutable CobaltStrike).
Bumblebee, identifié en tant que loader-chargeur de premier niveau depuis 2020 (notamment via Conti), pourrait être une viralité intermédiaire : en effet et toujours selon les analyses de ProofPoint, le loader serait opéré avant une éventuelle revente de l’information ex-filtrée par ses soins à d’autres cyber-attaquants de plus grande envergure ou qui aurait un besoin de ce type de données pour des cyber-attaques de type ransomware. Une trace a ainsi été observé dans ce sens en Février 2022. Concernant Conti, les récentes ex-filtrations de données (internes) du cyber-groupe ont pu étayer une relation entre Bumblebee et la disparition (activité) de BazaLoader.
“Un mois après les campagnes“, Bumblebee a été mis à jour : des contrôles “antiVM et antiSandbox” ont été intégrés. De plus et au 19 Avril 2022, un support de multiples serveurs command-and-control a été ajouté et l’intervalle-réponse (25 secondes) est randomisé (valeur). Un chiffrement (RC4 – clé en dur) est, également, intégré.
Enfin et concernant une mise à jour remontant au 22 Avril 2022, un nouveau fil d’exécution (thread) est supporté : positionné en tout début du loader (code), celui-ci “vérifie les processus en cours d’exécution” depuis un listing (codé en dur) ; avec un arrêt de Bumblebee si une valeur du listing est pointée (logiciel) avec les processus-système actifs… A veiller !
Source : Blog ProofPoint – 28 Avril 2022 – Bumblebee : avènement d’un loader de premier niveau (successeur de BazaLoader supposé – affiliation potentielle avec Conti).
