มีการตรวจพบมัลแวร์ Bumblebee ในการโจมตีเมื่อไม่นานมานี้ หลังจากผ่านไปกว่าสี่เดือนที่ Europol ได้มีการขัดขวางการทำงานในปฏิบัติการ Operation Endgame เมื่อเดือนพฤษภาคม
เชื่อกันว่ามัลแวร์นี้ถูกสร้างโดยกลุ่มผู้พัฒนา TrickBot โดยมัลแแวร์ Bumblebee ได้เกิดขึ้นในปี 2022 เพื่อมาแทนที่ BazarLoader backdoor ซึ่งมีไว้สำหรับผู้โจมตีที่ใช้ ransomware ในการเข้าถึงเครือข่ายของเหยื่อได้
โดยทั่วไปมัลแวร์ Bumblebee จะแพร่กระจายผ่านทาง ฟิชชิง, การโฆษณาที่เป็นอันตราย (malvertising) และการใช้ SEO poisoning ที่โปรโมตซอฟต์แวร์ต่าง ๆ เช่น Zooom, Cisco AnyConnect, ChatGPT และ Citrix Workspace
มัลแวร์ Bumblebee จะมีการส่ง payload ที่เป็น Cobalt Strike beacons, มัลแวร์ขโมยข้อมูล และแรนซัมแวร์ในรูปแบบต่าง ๆ
ในเดือนพฤษภาคม มีการบังคับใช้กฎหมายระหว่างประเทศที่มีชื่อรหัสว่า Operation Endgame โดยได้ยึดเซิร์ฟเวอร์กว่า 100 เครื่อง ที่มีการสนับสนุนการทำงานของมัลแวร์หลายตัว เช่น IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader และ SystemBC
นับตั้งแต่นั้นมา Bumblebee ก็หายไป อย่างไรก็ตาม นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Netskope สังเกตเห็นการดำเนินการใหม่ของ Bumblebee ที่เชื่อมโยงกับมัลแวร์ ซึ่งอาจบ่งบอกถึงการกลับมาอีกครั้ง
การโจมตีแบบต่อเนื่องของ Bumblebee ล่าสุด
การโจมตีของ Bumblebee ล่าสุด เริ่มต้นด้วยอีเมลฟิชชิ่งที่หลอกลวงเหยื่อให้ดาวน์โหลดไฟล์ ZIP ที่เป็นอันตราย
ไฟล์ ZIP นั้นมีไฟล์ชอร์ตคัต .LNK ชื่อว่า Report-41952.lnk ซึ่งเมื่อเปิดใช้งานจะสั่งให้ PowerShell ดาวน์โหลดไฟล์ .MSI ที่เป็นอันตราย (y.msi) โดยไฟล์นี้ถูกปลอมแปลงให้ดูเหมือนเป็นการอัปเดตไดรเวอร์ที่น่าเชื่อถือของ NVIDIA หรือโปรแกรมติดตั้งของ Midjourney จากเซิร์ฟเวอร์ภายนอก
จากนั้นไฟล์ MSI จะถูกเรียกใช้งานอย่างเงียบ ๆ โดยมีการใช้ msiexec.exe พร้อมกับ /qn option ซึ่งเป็นการทำให้มั่นใจว่าสามารถดำเนินการได้โดยที่ไม่ต้องมีการโต้ตอบจากผู้ใช้
เพื่อหลีกเลี่ยงการสร้าง process ใหม่ ซึ่งจะทำให้เกิดการแจ้งเตือนขึ้นมา มัลแวร์จึงใช้ SelfReg table ภายในโครงสร้าง MSI โดยสั่งให้ msiexec.exe โหลด DLL ลงในพื้นที่อยู่ของตัวมันเอง และเรียกใช้ฟังก์ชัน DllRegisterServer
เมื่อ DLL ถูกโหลด และเรียกใช้งาน unpacking process ของมัลแวร์จะเริ่มต้นขึ้น ส่งผลให้มีการนำ Bumblebee ไปใช้งานในหน่วยความจำ
Netskope ได้แสดงความคิดเห็นว่า payload ของ Bumblebee มี DLL ซึ่งภายในจะมี signature และรูปแบบการตั้งชื่อ exported functions รวมถึงเทคนิคการกำหนดค่าที่พบเห็นในเวอร์ชันก่อนหน้า
ในเหตุการณ์โจมตีล่าสุด รหัส RC4 ที่ใช้ในการถอดรหัสการกำหนดค่ามีการใช้สตริง "NEW_BLACK" ขณะที่มี ID แคมเปญสองรายการ คือ "msi" และ "lnk001"
Netskope ไม่ได้ให้ข้อมูลเกี่ยวกับ payload ของ Bumblebee หรือขนาดของแคมเปญ แต่รายงานนี้ถือเป็นการแจ้งเตือนถึงสัญญาณเบื้องต้นที่อาจจะเป็นการกลับมาของมัลแวร์ Bumblebee
รายชื่อทั้งหมดของ indicators of compromise สามารถดูได้ใน repository บน GitHub นี้
IOCs
ZIP file (SHA256)
2bca5abfac168454ce4e97a10ccf8ffc068e1428fa655286210006b298de42fb
LNK file (SHA256)
106c81f547cfe8332110520c968062004ca58bcfd2dbb0accd51616dd694721f
MSI file (SHA256)
c26344bfd07b871dd9f6bd7c71275216e18be265e91e5d0800348e8aa06543f9
0ab5b3e9790aa8ada1bbadd5d22908b5ba7b9f078e8f5b4e8fcc27cc0011cce7
d3f551d1fb2c307edfceb65793e527d94d76eba1cd8ab0a5d1f86db11c9474c3
d1cabe0d6a2f3cef5da04e35220e2431ef627470dd2801b4ed22a8ed9a918768
Bumblebee payload (SHA256)
7df703625ee06db2786650b48ffefb13fa1f0dae41e521b861a16772e800c115
Payload URL
hxxp:///193.242.145.138/mid/w1/Midjourney.msi
hxxp://193.176.190.41/down1/nvinstall.msi{}
ที่มา : bleepingcomputer
You must be logged in to post a comment.