Thought Leadership
Seit März 2022 beobachten IT-Security-Spezialisten von Proofpoint Kampagnen, die einen neuen Downloader namens „Bumblebee“ verbreiten. Mindestens drei Gruppen bekannter Cyberkrimineller verteilen Bumblebee derzeit.
Die von Proofpoint identifizierten Bumblebee-Kampagnen überschneiden sich mit Aktivitäten, welche die Google Threat Analysis Group mit den Ransomware-Programmen Conti und Diavol verbindet.
Bumblebee ist ein ausgeklügelter Downloader, der u.a. virtuelle Umgebungen sowie Sandboxen erkennen kann und gängige Downloader-Funktionen auf eine einzigartige Weise kombiniert, obwohl er sich noch in einem sehr frühen Stadium der Entwicklung befindet. Ziel von Bumblebee ist es, zusätzliche Schadsoftware herunterzuladen und auszuführen. Die Proofpoint-Experten konnten Cobalt Strike, Shellcode, Sliver und Meterpreter identifizieren.
Die Zunahme von Bumblebee-Aktivitäten fällt mit dem weitgehenden Verschwinden von BazaLoader zusammen, einer beliebten Schadsoftware, die Folgeangriffe erleichtert.
Übersicht
Proofpoint-Experten haben Bumblebee in E-Mail-Kampagnen von mindestens drei cyberkriminellen Gruppen beobachtet. Die Kampagnen haben das Ziel, Mitarbeiter dazu zu verleiten, Schadcode auf den Rechnern ihres Unternehmens auszuführen. Bei der Verbreitung von Bumblebee durch die Kriminellen kamen verschiedene Techniken zum Einsatz. Üblicherweise passen die Kriminellen den Köder, die Übermittlungstechnik und den Dateinamen an die verschiedenen Kampagnen an. Allerdings existieren mehrere Gemeinsamkeiten zwischen den beobachteten Kampagnen, z. B. die Verwendung von ISO-Dateien, die Verknüpfungen und DLLs enthalten, sowie ein gemeinsamer DLL-Entry-Point, der von mehreren Akteuren innerhalb derselben Woche verwendet wurde.
Die Experten von Proofpoint konnten einer der Kampagnen mit hoher Wahrscheinlichkeit der cyberkriminellen Gruppe TA579 zuordnen, die von den Security-Spezialisten bereits seit August 2021 beobachtet wird. Diese Gruppe nutzte in früheren Kampagnen häufig BazaLoader und IcedID.
Sherrod deGrippo, Vice President Threat Research and Detection bei Proofpoint, weist darauf hin, dass Cyberkriminelle große Kreativität an den Tag legen, wenn es darum geht, Mitarbeiter von Unternehmen zur Ausführung von Schadsoftware zu verleiten: „Das Auftauchen des Bumblebee-Loaders und die offensichtliche Verdrängung von BazaLoader zeigen, wie flexibel Cyberkriminelle sind, wenn es darum geht, Taktiken, Techniken und Prozeduren schnell anzupassen und neue Malware zu übernehmen. Darüber hinaus ist die neue Malware ziemlich ausgeklügelt und es zeigt sich, dass sie ständig aktiv weiterentwickelt wird und neue Methoden zur Umgehung von Gegenmaßnahmen implementiert werden.“
Methoden
Die Cyberkriminellen setzen in ihren Kampagnen verschiedene Methoden ein. In einer E-Mail-Kampagne missbrauchten die Angreifer die Marke DocuSign und verwendeten zwei alternative Pfade, die den Empfänger zum Download einer infizierten ISO-Datei verleiten sollten. Der erste Pfad begann damit, dass der Empfänger auf den Hyperlink „REVIEW THE DOCUMENT“ in der E-Mail klickte. Durch den Klick wurde der Benutzer zum Download einer gezippten ISO-Datei auf OneDrive weitergeleitet. Der alternative Pfad startete mit einem HTML-Anhang derselben E-Mail. Die Aufmachung der geöffneten HTML-Datei fingiert eine E-Mail mit einem Link zu einer unbezahlten Rechnung. Die eingebettete URL im HTML-Anhang nutzte einen Weiterleitungsdienst, den Proofpoint als Cookie Reloaded bezeichnet. Dabei handelt es sich um ein URL-Weiterleitung, die Prometheus TDS verwendet, um Downloads anhand der Zeitzone und der Cookies des potenziellen Opfers zu filtern. Der Umleitungsdienst leitete den Benutzer zu einer gezippten ISO-Datei weiter, die ebenfalls auf OneDrive gehostet wurde.
Die Proofpoint-Spezialisten haben auch eine Methode beobachtet, bei der die Cyberkriminellen versuchen, sich in eine bestehende E-Mail-Kommunikation einzuklinken („Thread-Hijacking“). Hierbei werden E-Mails mit bösartigen gezippten ISO-Anhängen versendet, die scheinbar Antworten auf bestehende, harmlose E-Mail-Konversationen waren. Alle Namen der Anhänge in dieser Kampagne verwendeten das Muster „doc_invoice_[number].zip“. Die gezippte ISO-Datei ist passwortgeschützt und enthält „DOCUMENT.LNK“ und „tar.dll“. Das Kennwort wird im Text der E-Mail mitgeteilt. Die Verknüpfungsdatei „DOCUMENT.LNK“ führt „tar.dll“ mit den richtigen Parametern aus, um den Bumblebee-Downloader zu aktivieren.
Bei einer anderen Kampagne verwendeten die Kriminellen E-Mails, die durch die Eingabe einer Nachricht in ein Kontaktformular auf der Website des Zielunternehmens erzeugt wurden, und behaupteten, auf der Website des Unternehmens befänden sich gestohlene Bilder. Je nachdem, wie der Abschnitt „Kontaktieren Sie uns“ auf der Website konfiguriert war, hinterließ die Aktion auch öffentliche Kommentare zu diesem Thema auf der Website. Die „Beschwerde“ enthielt einen Link zu einer Landing Page, die den Nutzer zum Download einer ISO-Datei mit „DOCUMENT_STOLENIMAGES.LNK“ und „neqw.dll“ führte. Bei Ausführung der Verknüpfungsdatei wurde „neqw.dll“ mit den richtigen Parametern ausgeführt, um den Bumblebee-Downloader zu starten.
Verhältnis zu anderer Schadsoftware
Die Verwendung von Bumblebee durch mehrere Gruppen Cyberkrimineller, der Zeitpunkt seiner Einführung und die beschriebenen Methoden können als eine bemerkenswerte Veränderung in der Bedrohungslandschaft angesehen werden. Darüber hinaus erachten die Proofpoint-Experten die Akteure, die Bumblebee verwenden, mit einiger Sicherheit als Erstzugriffsvermittler, d. h. als unabhängige cyberkriminelle Gruppen, die wichtige Ziele infiltrieren und dann den Zugang an andere Ransomware-Akteure verkaufen.
Mindestens drei Gruppen, die normalerweise BazaLoader-Malware verbreiten, nutzen nun Bumblebee. BazaLoader wurde von Proofpoint zuletzt im Februar 2022 beobachtet.
BazaLoader ist ein Downloader der ersten Stufe, der erstmals im Jahr 2020 identifiziert wurde und mit nachfolgenden Ransomware-Kampagnen wie Conti in Verbindung gebracht wurde. Proofpoint-Spezialisten beobachteten zunächst, dass BazaLoader in großem Umfang von einer Gruppe verbreitet wurde, die vor allem für die Verbreitung des Banking-Trojaners Trick bekannt war.
Das scheinbare Verschwinden von BazaLoader fällt mit dem Zeitpunkt der Conti Leaks Ende Februar 2022 zusammen, als ein ukrainischer Forscher mit Zugang zu den internen Abläufen von Conti begann, Daten der cyberkriminellen Organisation zu veröffentlichen. In den geleakten Dateien wurde eine mit BazaLoader verbundene Infrastruktur identifiziert.
Proofpoint geht mit hoher Wahrscheinlichkeit davon aus, dass alle beobachteten Akteure, die Bumblebee verwenden, die Malware aus derselben Quelle beziehen.
Die Schadsoftware
Bumblebee ist ein in C++ geschriebener Downloader. Das ursprünglich analysierte Bumblebee-DLL-Beispiel enthält zwei Exporte. Einer startet direkt den Thread für die Bumblebee-Hauptfunktion. Der andere führt schließlich zur gleichen Hauptfunktion, fügt aber Filter hinzu, um festzustellen, ob in wichtigen dynamischen Link-Bibliotheken (DLLs) Haken gesetzt wurden. Der LNK, der diese DLL lädt, überspringt die Standardfunktion DllMain und ruft stattdessen den Export auf, der nach entsprechenden Bestätigungen sucht.
Der Großteil des Bumblebee-Downloaders ist in einer einzigen Funktion zusammengefasst, im Gegensatz zu den meisten Schadprogrammen, bei denen die Initialisierung, das Senden von Anfragen und die Bearbeitung von Antworten auf verschiedene Funktionen verteilt sind. Der Downloader beginnt mit dem Kopieren der Gruppen-ID, die als Botnet-Identifikator verwendet wird. Im Gegensatz zu den meisten anderen Schadprogrammen ist die Konfiguration von Bumblebee derzeit im Klartext gespeichert, aber die Proofpoint-Experten vermuten, dass sie in Zukunft verschleiert wird. Nachdem die Gruppen-ID kopiert wurde, löst der Downloader die Adressen für verschiedene NTDLL-Funktionen auf, die es ihm ermöglichen, den Code später im Ladeprozess korrekt auszuführen.
Weitere Informationen:
Der komplette Blog von Proofpoint, inklusive detaillierter Screenshots und Grafiken zu dem Thema, ist hier zu finden.
www.proofpoint.com
