Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il Ritorno di Bumblebee! Il downloader ransomware riemerge dopo Endgame!

Redazione RHC : 22 Ottobre 2024 17:18

Il downloader dannoso Bumblebee è tornato in circolazione più di quattro mesi dopo che la sua attività era stata interrotta dall’operazione internazionale Endgame dell’Europol nel maggio di quest’anno.

Bumblebee, secondo gli esperti, è stato creato dagli sviluppatori di TrickBot ed è apparso per la prima volta nel 2022 in sostituzione di BazarLoader. Questo downloader consente ai gruppi di ransomware di accedere alle reti delle vittime.

I principali metodi di distribuzione di Bumblebee sono il phishing, il malvertising e lo spam SEO. Ha promosso applicazioni come Zoom, Cisco AnyConnect, ChatGPT e Citrix Workspace. I tipici payload di malware distribuiti da Bumblebee includono beacon Cobalt Strike , programmi per il furto di dati e varie versioni di ransomware.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

A maggio, nell’ambito dell’operazione Endgame, le forze dell’ordine hanno sequestrato più di un centinaio di server che supportavano le attività di diversi downloader dannosi, tra cui IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader e SystemBC. Da allora, Bumblebee è rimasto in gran parte inattivo. Tuttavia, i ricercatori di Netskope hanno recentemente registrato una nuova ondata di attacchi che hanno coinvolto Bumblebee, il che potrebbe indicarne il ritorno.

La catena dell’attacco inizia con un’e-mail di phishing che propone di scaricare un archivio in formato ZIP. L’archivio contiene un file di collegamento (.LNK) chiamato “Report-41952.lnk”, che scarica un file MSI dannoso tramite PowerShell mascherato da driver NVIDIA o programma di installazione del programma Midjourney.

Il file MSI viene eseguito utilizzando l’utilità msiexec.exe in modalità silenziosa (opzione /qn), che elimina l’interazione dell’utente. Per mascherare le sue azioni, il malware utilizza la tabella SelfReg, caricando la DLL direttamente nello spazio “msiexec.exe” e attivandone le funzioni.

Una volta distribuito, Bumblebee carica il suo payload in memoria e avvia il processo di decompressione. I ricercatori hanno notato che la nuova variante del malware utilizza la stringa “NEW_BLACK” per decrittografare la configurazione e due identificatori di campagna: “msi” e “lnk001”.

Sebbene Netskope non abbia fornito dati sulla dimensione della campagna o sui tipi di payload scaricati, la ricerca evidenzia i primi segnali di un possibile revival di Bumblebee. L’elenco completo degli indicatori di compromissione è disponibile su GitHub.

Il ritorno di Bumblebee ci ricorda che, anche dopo operazioni riuscite contro le minacce informatiche, non dobbiamo abbassare la guardia: nuove attività dannose possono sempre emergere dall’ombra, cambiando l’aspetto ma non le intenzioni.

ZIP file (SHA256)

2bca5abfac168454ce4e97a10ccf8ffc068e1428fa655286210006b298de42fb

LNK file (SHA256)

106c81f547cfe8332110520c968062004ca58bcfd2dbb0accd51616dd694721f

MSI file (SHA256)

c26344bfd07b871dd9f6bd7c71275216e18be265e91e5d0800348e8aa06543f9
0ab5b3e9790aa8ada1bbadd5d22908b5ba7b9f078e8f5b4e8fcc27cc0011cce7
d3f551d1fb2c307edfceb65793e527d94d76eba1cd8ab0a5d1f86db11c9474c3
d1cabe0d6a2f3cef5da04e35220e2431ef627470dd2801b4ed22a8ed9a918768

Bumblebee payload (SHA256)

7df703625ee06db2786650b48ffefb13fa1f0dae41e521b861a16772e800c115

Payload URL

hxxp:///193.242.145.138/mid/w1/Midjourney.msi
hxxp://193.176.190.41/down1/nvinstall.msi

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Google Meet ora traduce in tempo reale! il tuo inglese “maccheronico” è ufficialmente disoccupato

Google ci porta nel futuro con le traduzioni simultanee in Google Meet! In occasione del suo evento annuale Google I/O 2025,  Google ha presentato uno dei suoi aggiornamenti più entusia...

Un Ospedale Italiano è stato Violato! I Video dei Pazienti e delle Sale Operatorie Sono Online!

“Ciao Italia! L’attacco all’ospedale italiano è riuscito. Ci siamo stabiliti nel sistema, caricando un exploit sul server, ottenendo molte informazioni utili dalle schede dei...

Coca-Cola Emirati Arabi sotto attacco: Everest Ransomware colpisce tramite infostealer

il 22 maggio 2025, è emersa la notizia di un attacco ransomware ai danni della divisione Emirati Arabi della Coca-Cola Company, rivendicato dal gruppo Everest. La compromissione sarebbe avvenuta ...

“Italia, Vergognati! Paese Mafioso!”. Insulti di Nova all’Italia dopo l’Attacco al Comune di Pisa

I black hacker di NOVA tornano a colpire, e questa volta con insulti all’Italia dopo la pubblicazione dei dati del presunto attacco informatico al Comune di Pisa. Dopo aver rivendicato l’...

Europol Operazione RapTor: 270 arresti e 184 milioni sequestrati. Crollano i mercati del Dark Web

Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...