Un chargeur de logiciels malveillants récemment découvert appelé Bumblebee est probablement le dernier développement du syndicat Conti, conçu pour remplacer la porte dérobée BazarLoader utilisée pour fournir des charges utiles de ransomware.
L’émergence de Bumblebee dans les campagnes de phishing en mars coïncide avec une baisse de l’utilisation de BazarLoader pour diffuser des logiciels malveillants de cryptage de fichiers, selon les chercheurs.
BazarLoader est le travail des développeurs du botnet TrickBot, qui ont fourni l’accès aux réseaux des victimes pour les attaques de ransomwares. Le gang TrickBot travaille maintenant pour le syndicat Conti.
Dans un rapport publié en mars sur un acteur menaçant identifié comme « Lily exotique » qui a fourni un accès initial aux opérations de rançongiciel Conti et Diavol, le groupe d’analyse des menaces de Google a déclaré que l’acteur a commencé à laisser tomber Bumblebeeau lieu du logiciel malveillant BazarLoader habituel, pour fournir Cobalt Strike.
Modes de livraison Bumblebee
Éli Salemchasseur de menaces principal et ingénieur inverse de logiciels malveillants chez Cybereason, affirme que les techniques de déploiement pour Bumblebee sont les mêmes que pour BazarLoader et IcedID, tous deux vus dans le passé déployer le rançongiciel Conti.
Proofpoint confirme la conclusion de Salem, disant qu’ils ont observé des campagnes de phishing où « Bumblebee [was] utilisé par plusieurs acteurs de menaces de logiciels criminels précédemment observés fournissant BazaLoader et IcedID.
« Les acteurs de la menace utilisant Bumblebee sont associés à des charges utiles de logiciels malveillants qui ont été liées à des campagnes de rançongiciels de suivi » – Proofpoint
La société note également que « plusieurs acteurs de la menace qui utilisent généralement BazaLoader dans les campagnes de logiciels malveillants sont passés à Bumblebee » pour supprimer le shellcode et les frameworks Cobalt Strike, Sliver et Meterpreter conçus pour l’évaluation de la sécurité de l’équipe rouge.
Dans le même temps, BazaLoader est absent des données de Proofpoint depuis février.
Dans un rapport publié aujourd’hui, Proofpoint dit qu’il a observé plusieurs campagnes par e-mail distribuant Bumblebee dans des pièces jointes ISO contenant des raccourcis et des fichiers DLL.
Une campagne a exploité un leurre de documents DocuSign qui a conduit à une archive ZIP avec un conteneur ISO malveillant hébergé sur le service de stockage en nuage OneDrive de Microsoft.
Les chercheurs disent que l’e-mail malveillant comprenait également une pièce jointe HTML qui apparaissait comme un e-mail à une facture impayée, dit Proofpoint.
L’URL intégrée dans le fichier HTML utilisait un service de redirection qui s’appuie sur le Prometheus TDS (service de distribution de trafic) qui filtre les téléchargements en fonction du fuseau horaire et des cookies de la victime. La destination finale était également l’ISO malveillante hébergée sur OneDrive.
Les chercheurs de Proofpoint ont attribué cette campagne avec une grande confiance au groupe cybercriminel TA579. Proofpoint suit TA579 depuis août 2021. Cet acteur a fréquemment livré BazaLoader et IcedID lors de campagnes précédentes
En mars, Proofpoint a observé une campagne qui livrait Bumblebee via des formulaires de contact sur le site Web d’une cible. Les messages affirmaient que le site Web utilisait des images volées et incluaient un lien qui délivrait finalement un fichier ISO contenant le logiciel malveillant.
Proofpoint attribue cette campagne à un autre acteur menaçant que la société suit sous le nom de TA578 depuis mai 2020 et utilise des campagnes par e-mail pour diffuser des logiciels malveillants comme Ursnif, IcedID, KPOT Stealer, Buer Loader et BazaLoader, ainsi que Cobalt Strike.
Les chercheurs ont détecté une autre campagne en avril qui a piraté des fils de discussion pour fournir le chargeur de logiciels malveillants Bumblebee dans les réponses à la cible avec une pièce jointe ISO archivée.
Bien qu’il n’ait pas trouvé de preuves indéniables, Proofpoint estime que les acteurs de la menace qui déploient Bumblebee sont des courtiers d’accès réseau initiaux travaillant avec des acteurs de ransomware.
Logiciels malveillants très complexes
Les chercheurs s’accordent à dire que Bumblebee est un « nouveau chargeur de logiciels malveillants hautement sophistiqué » qui intègre des techniques d’évasion élaborées et complexes et des astuces anti-analyse qui incluent des méthodes anti-virtualisation complexes.
Dans un analyse technique Jeudi, Eli Salem montre que les auteurs de Bumblebee ont utilisé l’intégralité du code anti-analyse de la version accessible au public application al-khaser PoC ‘malware’.
L’examen du code de Salem a révélé que le logiciel malveillant recherche plusieurs outils d’analyse dynamique et statique, il essaie de détecter « tout type d’environnement de virtualisation » en recherchant leurs processus et en vérifiant les clés de registre et les chemins de fichiers.
Le chercheur note que l’une des choses les plus intéressantes qu’il a trouvées dans le composant de chargement principal de Bumblebee est la présence de deux fichiers DLL 32/64 bits appelés RapportGP.dll, un nom utilisé par le logiciel de sécurité Trusteer’s Rapport pour protéger les données sensibles comme les informations d’identification.
Dans son analyse technique séparée, Proofpoint a constaté que le chargeur Bumblebee prend en charge les commandes suivantes :
- Shi : injection de shellcode
- Dij : injection de DLL dans la mémoire d’autres processus
- Dex : Télécharger l’exécutable
- Sdl : désinstaller le chargeur
- Ins : activer la persistance via une tâche planifiée pour un script Visual Basic qui charge Bumblebee
Bumblebee utilise le code TrickBot
Les chercheurs en logiciels malveillants des sociétés de cybersécurité Proofpoint et Cybereason ont analysé Bumblebee et ont remarqué des similitudes avec le logiciel malveillant TrickBot dans le code, les méthodes de livraison et les charges utiles supprimées.
Salem a établi une connexion entre Bumblebee et TrickBot après avoir constaté que les deux logiciels malveillants s’appuient sur le même mécanisme d’installation pour les hooks.
Les similitudes vont encore plus loin, car Bumblebee utilise la même technique d’évasion pour RapportGP.DLL que TrickBot pour son module d’injection Web.
De plus, les deux logiciels malveillants tentent d’utiliser la LoadLibrary et d’obtenir l’adresse de la fonction qu’ils souhaitent accrocher, a découvert le chercheur.
Salem dit que bien qu’il n’y ait pas suffisamment de preuves pour dire que Bumblebee et TrickBot ont le même auteur, il est plausible de supposer que le développeur de Bumblebee a le code source du module d’injection Web de TrickBot.
Développement rapide de logiciels malveillants
Bumblebee est activement développé, gagnant de nouvelles capacités à chaque mise à jour. Le plus récent observé par Proofpoint date du 19 avril et prend en charge plusieurs serveurs de commande et de contrôle (C2).
Cependant, Proofpoint indique que le développement le plus important est l’ajout d’une couche de chiffrement via le chiffrement de flux RC4 pour les communications réseau, qui utilise une clé codée en dur pour chiffrer les requêtes et déchiffrer les réponses du C2.
Une autre modification est apparue le 22 avril lorsque les chercheurs ont remarqué que Bumblebee avait intégré un fil qui vérifie les outils courants utilisés par les analystes de logiciels malveillants par rapport à une liste codée en dur.
Proofpoint estime que Bumblebee est un outil multifonctionnel qui peut être utilisé pour un accès initial aux réseaux des victimes afin de déployer ultérieurement d’autres charges utiles telles que des ransomwares.
Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint, déclare que « le logiciel malveillant est assez sophistiqué et démontre qu’il est en cours de développement actif en introduisant de nouvelles méthodes pour échapper à la détection ».
Les rapports [1, 2] d’Eli Salem de Cybereason et Proofpoint se sont séparés un jour et incluent une analyse technique détaillée des aspects les plus significatifs du malware Bumblebee.