“Os operadores do Bumblebee realizam atividades intensivas de reconhecimento e redirecionam a saída dos comandos executados para arquivos para exfiltração”, disseram os pesquisadores da Cybereason Meroujan Antonyan e Alon Laufer em um artigo técnico.
O Bumblebee veio à tona em março de 2022, quando o Threat Analysis Group (TAG) do Google desmascarou as atividades de um corretor de acesso inicial apelidado de Exotic Lily com laços com o TrickBot e os maiores coletivos Conti .
Normalmente entregue por meio de acesso inicial adquirido por meio de campanhas de spear phishing, o modus operandi foi ajustado, evitando documentos com macros em favor de arquivos ISO e LNK, principalmente em resposta à decisão da Microsoft de bloquear macros por padrão .
“A distribuição do malware é feita por e-mails de phishing com um anexo ou um link para um arquivo malicioso contendo o Bumblebee”, disseram os pesquisadores. “A execução inicial depende da execução do usuário final que precisa extrair o arquivo, montar um arquivo de imagem ISO e clicar em um arquivo de atalho do Windows (LNK)”.
O arquivo LNK, por sua vez, contém o comando para iniciar o carregador Bumblebee, que é então usado como um canal para ações do próximo estágio, como persistência, escalação de privilégios, reconhecimento e roubo de credenciais.
Também empregada durante o ataque é a estrutura de simulação de adversários Cobalt Strike ao obter privilégios elevados em endpoints infectados, permitindo que o agente da ameaça se mova lateralmente pela rede. A persistência é alcançada com a implantação do software de desktop remoto AnyDesk.
No incidente analisado pela Cybereason, as credenciais roubadas de um usuário altamente privilegiado foram posteriormente utilizadas para assumir o controle do Active Directory , sem mencionar a criação de uma conta de usuário local para exfiltração de dados.
“O tempo que levou entre o acesso inicial e o comprometimento do Active Directory foi inferior a dois dias”, disse a empresa de segurança cibernética. “Ataques envolvendo Bumblebee devem ser tratados como críticos, […] e este carregador é conhecido pela entrega de ransomware.”
Fonte: https://thehackernews.com/
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
