Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il Ritorno di Bumblebee! Il downloader ransomware riemerge dopo Endgame!

Redazione RHC : 22 Ottobre 2024 17:18

Il downloader dannoso Bumblebee è tornato in circolazione più di quattro mesi dopo che la sua attività era stata interrotta dall’operazione internazionale Endgame dell’Europol nel maggio di quest’anno.

Bumblebee, secondo gli esperti, è stato creato dagli sviluppatori di TrickBot ed è apparso per la prima volta nel 2022 in sostituzione di BazarLoader. Questo downloader consente ai gruppi di ransomware di accedere alle reti delle vittime.

I principali metodi di distribuzione di Bumblebee sono il phishing, il malvertising e lo spam SEO. Ha promosso applicazioni come Zoom, Cisco AnyConnect, ChatGPT e Citrix Workspace. I tipici payload di malware distribuiti da Bumblebee includono beacon Cobalt Strike , programmi per il furto di dati e varie versioni di ransomware.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    A maggio, nell’ambito dell’operazione Endgame, le forze dell’ordine hanno sequestrato più di un centinaio di server che supportavano le attività di diversi downloader dannosi, tra cui IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader e SystemBC. Da allora, Bumblebee è rimasto in gran parte inattivo. Tuttavia, i ricercatori di Netskope hanno recentemente registrato una nuova ondata di attacchi che hanno coinvolto Bumblebee, il che potrebbe indicarne il ritorno.

    La catena dell’attacco inizia con un’e-mail di phishing che propone di scaricare un archivio in formato ZIP. L’archivio contiene un file di collegamento (.LNK) chiamato “Report-41952.lnk”, che scarica un file MSI dannoso tramite PowerShell mascherato da driver NVIDIA o programma di installazione del programma Midjourney.

    Il file MSI viene eseguito utilizzando l’utilità msiexec.exe in modalità silenziosa (opzione /qn), che elimina l’interazione dell’utente. Per mascherare le sue azioni, il malware utilizza la tabella SelfReg, caricando la DLL direttamente nello spazio “msiexec.exe” e attivandone le funzioni.

    Una volta distribuito, Bumblebee carica il suo payload in memoria e avvia il processo di decompressione. I ricercatori hanno notato che la nuova variante del malware utilizza la stringa “NEW_BLACK” per decrittografare la configurazione e due identificatori di campagna: “msi” e “lnk001”.

    Sebbene Netskope non abbia fornito dati sulla dimensione della campagna o sui tipi di payload scaricati, la ricerca evidenzia i primi segnali di un possibile revival di Bumblebee. L’elenco completo degli indicatori di compromissione è disponibile su GitHub.

    Il ritorno di Bumblebee ci ricorda che, anche dopo operazioni riuscite contro le minacce informatiche, non dobbiamo abbassare la guardia: nuove attività dannose possono sempre emergere dall’ombra, cambiando l’aspetto ma non le intenzioni.

    ZIP file (SHA256)

    2bca5abfac168454ce4e97a10ccf8ffc068e1428fa655286210006b298de42fb

    LNK file (SHA256)

    106c81f547cfe8332110520c968062004ca58bcfd2dbb0accd51616dd694721f

    MSI file (SHA256)

    c26344bfd07b871dd9f6bd7c71275216e18be265e91e5d0800348e8aa06543f9
0ab5b3e9790aa8ada1bbadd5d22908b5ba7b9f078e8f5b4e8fcc27cc0011cce7
d3f551d1fb2c307edfceb65793e527d94d76eba1cd8ab0a5d1f86db11c9474c3
d1cabe0d6a2f3cef5da04e35220e2431ef627470dd2801b4ed22a8ed9a918768

    Bumblebee payload (SHA256)

    7df703625ee06db2786650b48ffefb13fa1f0dae41e521b861a16772e800c115

    Payload URL

    hxxp:///193.242.145.138/mid/w1/Midjourney.msi
hxxp://193.176.190.41/down1/nvinstall.msi

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

    A lezione di IA a 6 anni: la Cina prepara i suoi bambini alla rivoluzione dell’intelligenza artificiale

    La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006