De Bumblebee-malware, die geassocieerd wordt met het cybercrime-syndicaat Conti en Trickbot, is weer actief na een periode van inactiviteit van vier maanden. Deze malware-loader staat bekend om zijn betrokkenheid bij phishingcampagnes en heeft al verschillende organisaties in de Verenigde Staten aangevallen.
Een recente campagne, waargenomen door Proofpoint, laat zien dat Bumblebee terug is, wat zorgen baart over een toename van cybercrime-activiteiten in de toekomst. Deze opleving kan mogelijk leiden tot een breder scala aan aanvallen in 2024.
De nieuwste phishingcampagne maakt gebruik van valse voicemailmeldingen die zich voordoen als legitieme berichten. Deze e-mails werden naar meerdere organisaties in de VS gestuurd en afkomstig van het adres “[email protected]”. De berichten bevatten een OneDrive URL die een Word-document met de naam “ReleaseEvans#96.docm” of iets vergelijkbaars downloadt. Het document beweert afkomstig te zijn van hu.ma.ne, een consumentenelektronicabedrijf dat bekend staat om zijn met AI-aangedreven producten.
In het kwaadaardige document worden VBA-macro’s gebruikt om een scriptbestand aan te maken in de tijdelijke Windows-map. Dit script voert vervolgens een neergezet bestand uit met behulp van “wscript”. Het tijdelijke bestand bevat een PowerShell-commando dat de volgende fase ophaalt en uitvoert vanaf een externe server. Uiteindelijk leidt dit tot het downloaden en uitvoeren van de Bumblebee DLL (w_ver.dll) op het systeem van het slachtoffer.
Wat deze campagne onderscheidt, is het gebruik van VBA-macro’s, wat afwijkt van meer moderne technieken. De beslissing van Microsoft om macro’s standaard te blokkeren in 2022 heeft het moeilijker gemaakt voor dergelijke campagnes om succesvol te zijn. Eerdere Bumblebee-campagnes maakten gebruik van verschillende methoden, zoals directe DLL-downloads, HTML-smokkel en het benutten van kwetsbaarheden, waardoor deze aanvalsketen een significante afwijking is van hun gebruikelijke aanpak.
Het is mogelijk dat de verschuiving naar VBA-macro’s een poging is om detectie te ontwijken, aangezien kwaadaardige VBAs minder vaak voorkomen. Bumblebee kan ook nieuwe distributiemethoden verkennen en diversifiëren.
Hoewel het momenteel onzeker is welke dreigingsgroep er achter deze recente campagne zit, merken onderzoekers van Proofpoint gelijkenissen op met de tactieken die door de TA579-groep worden gebruikt. Andere dreigingsactoren die een opleving in hun activiteiten hebben gezien, zijn onder andere TA576, TA866, TA582 en TA2541.
De verstoring veroorzaakt door wetshandhavingsautoriteiten op de markt voor QBot-payloadverdeling heeft andere malware-loaders de kans gegeven om het gat op te vullen. Malware zoals DarkGate en Pikabot maken actief gebruik van meerdere kanalen, waaronder phishing, malvertising en berichtenplatforms zoals Skype en Microsoft Teams.
Het is cruciaal voor organisaties om waakzaam te blijven en robuuste beveiligingsmaatregelen te implementeren om hun systemen te beschermen tegen deze steeds veranderende dreigingen.
Veelgestelde vragen
Wat is Bumblebee-malware?
Bumblebee-malware is een beruchte malware-loader die bekend staat om zijn betrokkenheid bij phishingcampagnes. Het wordt geassocieerd met het cybercrime-syndicaat Conti en Trickbot.
Wat zijn VBA-macro’s?
VBA-macro’s verwijzen naar Visual Basic for Applications-macro’s. Ze worden gebruikt in Microsoft Office-documenten en kunnen automatiseringstaken uitvoeren. In het geval van malafide VBA-macro’s worden ze gebruikt om schadelijke activiteiten uit te voeren, zoals het downloaden en uitvoeren van malware.
Welke organisaties zijn doelwit van Bumblebee-malware?
Bumblebee-malware heeft al verschillende organisaties in de Verenigde Staten aangevallen. Het specifieke doelwit kan variëren, maar het is belangrijk voor organisaties om waakzaam te blijven en beveiligingsmaatregelen te implementeren om zichzelf te beschermen.
Welke andere malware-loaders zijn actief?
Naast Bumblebee-malware zijn er andere actieve malware-loaders, zoals DarkGate en Pikabot. Deze malware maakt gebruik van verschillende kanalen, waaronder phishing, malvertising en berichtenplatforms zoals Skype en Microsoft Teams.
Bronnen:
– Proofpoint: example.com
The source of the article is from the blog yanoticias.es