Il Ritorno di Bumblebee! Il downloader ransomware riemerge dopo Endgame!

Redazione RHC : 22 Ottobre 2024 17:18

Il downloader dannoso Bumblebee è tornato in circolazione più di quattro mesi dopo che la sua attività era stata interrotta dall’operazione internazionale Endgame dell’Europol nel maggio di quest’anno.

Bumblebee, secondo gli esperti, è stato creato dagli sviluppatori di TrickBot ed è apparso per la prima volta nel 2022 in sostituzione di BazarLoader. Questo downloader consente ai gruppi di ransomware di accedere alle reti delle vittime.

I principali metodi di distribuzione di Bumblebee sono il phishing, il malvertising e lo spam SEO. Ha promosso applicazioni come Zoom, Cisco AnyConnect, ChatGPT e Citrix Workspace. I tipici payload di malware distribuiti da Bumblebee includono beacon Cobalt Strike , programmi per il furto di dati e varie versioni di ransomware.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

A maggio, nell’ambito dell’operazione Endgame, le forze dell’ordine hanno sequestrato più di un centinaio di server che supportavano le attività di diversi downloader dannosi, tra cui IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader e SystemBC. Da allora, Bumblebee è rimasto in gran parte inattivo. Tuttavia, i ricercatori di Netskope hanno recentemente registrato una nuova ondata di attacchi che hanno coinvolto Bumblebee, il che potrebbe indicarne il ritorno.

La catena dell’attacco inizia con un’e-mail di phishing che propone di scaricare un archivio in formato ZIP. L’archivio contiene un file di collegamento (.LNK) chiamato “Report-41952.lnk”, che scarica un file MSI dannoso tramite PowerShell mascherato da driver NVIDIA o programma di installazione del programma Midjourney.

Il file MSI viene eseguito utilizzando l’utilità msiexec.exe in modalità silenziosa (opzione /qn), che elimina l’interazione dell’utente. Per mascherare le sue azioni, il malware utilizza la tabella SelfReg, caricando la DLL direttamente nello spazio “msiexec.exe” e attivandone le funzioni.

Una volta distribuito, Bumblebee carica il suo payload in memoria e avvia il processo di decompressione. I ricercatori hanno notato che la nuova variante del malware utilizza la stringa “NEW_BLACK” per decrittografare la configurazione e due identificatori di campagna: “msi” e “lnk001”.

Sebbene Netskope non abbia fornito dati sulla dimensione della campagna o sui tipi di payload scaricati, la ricerca evidenzia i primi segnali di un possibile revival di Bumblebee. L’elenco completo degli indicatori di compromissione è disponibile su GitHub.

Il ritorno di Bumblebee ci ricorda che, anche dopo operazioni riuscite contro le minacce informatiche, non dobbiamo abbassare la guardia: nuove attività dannose possono sempre emergere dall’ombra, cambiando l’aspetto ma non le intenzioni.

ZIP file (SHA256)

2bca5abfac168454ce4e97a10ccf8ffc068e1428fa655286210006b298de42fb

LNK file (SHA256)

106c81f547cfe8332110520c968062004ca58bcfd2dbb0accd51616dd694721f

MSI file (SHA256)

c26344bfd07b871dd9f6bd7c71275216e18be265e91e5d0800348e8aa06543f9
0ab5b3e9790aa8ada1bbadd5d22908b5ba7b9f078e8f5b4e8fcc27cc0011cce7
d3f551d1fb2c307edfceb65793e527d94d76eba1cd8ab0a5d1f86db11c9474c3
d1cabe0d6a2f3cef5da04e35220e2431ef627470dd2801b4ed22a8ed9a918768

Bumblebee payload (SHA256)

7df703625ee06db2786650b48ffefb13fa1f0dae41e521b861a16772e800c115

Payload URL

hxxp:///193.242.145.138/mid/w1/Midjourney.msi
hxxp://193.176.190.41/down1/nvinstall.msi

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli