Cyberkriminelle Akteure, die zuvor bei der Verbreitung von BazaLoader und IcedID als Teil ihrer Malware-Kampagnen beobachtet wurden, sollen auf einen neuen Loader namens Bumblebee umgestiegen sein, der derzeit aktiv entwickelt wird.
„Basierend auf dem Zeitpunkt seines Auftauchens in der Bedrohungslandschaft und der Nutzung durch mehrere cyberkriminelle Gruppen ist es wahrscheinlich, dass Bumblebee, wenn nicht ein direkter Ersatz für BazaLoader, so doch ein neues, multifunktionales Tool ist, das von Akteuren genutzt wird, die in der Vergangenheit andere Malware bevorzugt haben“, so das Sicherheitsunternehmen Proofpoint in einem Bericht an The Hacker News.
Kampagnen, die den neuen, hochentwickelten Loader verbreiten, sollen im März 2022 begonnen haben, wobei es Überschneidungen mit bösartigen Aktivitäten gibt, die zur Verbreitung der Ransomware Conti und Diavol führten, was die Möglichkeit aufwirft, dass der Loader als Vorläufer für Ransomware-Angriffe dienen könnte.
„Bedrohungsakteure, die Bumblebee verwenden, werden mit Malware-Nutzlasten in Verbindung gebracht, die mit nachfolgenden Ransomware-Kampagnen in Verbindung gebracht wurden“, so die Forscher.
Bumblebee ist nicht nur mit Anti-Virtualisierungsprüfungen ausgestattet, sondern auch in C++ geschrieben und so konzipiert, dass er als Downloader zum Abrufen und Ausführen von Nutzdaten der nächsten Stufe fungiert, darunter Cobalt Strike, Sliver, Meterpreter und Shellcode.
Interessanterweise geht die zunehmende Entdeckung des Malware-Loaders in der Bedrohungslandschaft mit dem Verschwinden von BazaLoader-Einsätzen seit Februar 2022 einher, einem anderen beliebten Loader, der von den Machern der inzwischen aufgelösten TrickBot-Gang entwickelt wurde, die inzwischen in Conti aufgegangen ist.
Die Angriffsketten, die Bumblebee verbreiten, haben die Form von DocuSign-gebrandeten E-Mail-Phishing-Ködern angenommen, die betrügerische Links oder HTML-Anhänge enthalten und potenzielle Opfer zu einer komprimierten ISO-Datei führen, die auf Microsoft OneDrive gehostet wird.
Darüber hinaus nutzt die eingebettete URL im HTML-Anhang ein Traffic Direction System (TDS) namens Prometheus – das auf Untergrundplattformen für 250 Dollar pro Monat zum Verkauf angeboten wird – um die URLs auf die Archivdateien umzuleiten, die auf der Zeitzone und den Cookies der Opfer basieren.
Die ZIP-Dateien wiederum enthalten .LNK- und .DAT-Dateien, wobei die Windows-Verknüpfungsdatei die letztere mit dem Bumblebee-Downloader ausführt, bevor sie zur Verbreitung von BazaLoader und IcedID-Malware verwendet wird.
Eine zweite Kampagne im April 2022 beinhaltete ein Thread-Hijacking-Schema, bei dem legitime E-Mails mit Rechnungsmotiven übernommen wurden, um gezippte ISO-Dateien zu versenden, die dann zur Ausführung einer DLL-Datei verwendet wurden, um den Loader zu aktivieren.
Außerdem wurde das Kontaktformular auf der Website des Ziels missbraucht, um eine Nachricht zu verschicken, in der Urheberrechtsverletzungen an Bildern behauptet werden, und das Opfer auf einen Google Cloud Storage-Link verwiesen wird, der zum Download einer komprimierten ISO-Datei führt, wodurch die oben beschriebene Infektionssequenz fortgesetzt wird.
Der Übergang von BazarLoader zu Bumblebee ist ein weiterer Beweis dafür, dass diese Bedrohungsakteure – wahrscheinlich erste Zugangsvermittler, die Ziele infiltrieren und diesen Zugang dann an andere verkaufen – die Malware aus einer gemeinsamen Quelle beziehen.
Die Entwicklung überschneidet sich auch mit der Übernahme des berüchtigten TrickBot-Botnetzes durch Conti und dessen Abschaltung, um sich auf die Entwicklung von BazarLoader und Anchor-Malware zu konzentrieren. Es ist nicht klar, ob die undichten Stellen die Bande dazu veranlassten, BazaLoader zugunsten von Bumblebee aufzugeben.
„Die Einführung des Bumblebee Loaders in die Crimeware-Bedrohungslandschaft und sein offensichtlicher Ersatz für BazaLoader zeigt, wie flexibel Bedrohungsakteure sind, um ihre TTPs schnell zu ändern und neue Malware zu übernehmen“, sagte Sherrod DeGrippo, Vizepräsident für Bedrohungsforschung und -erkennung bei Proofpoint.
„Außerdem ist die Malware ziemlich ausgeklügelt und zeigt, dass sie ständig aktiv weiterentwickelt wird und neue Methoden zur Umgehung der Erkennung einführt“, so DeGrippo weiter.