Cybercriminelen die eerder zagen dat BazaLoader en IcedID werden geleverd als onderdeel van hun malwarecampagnes, zouden zijn overgestapt op een nieuwe loader genaamd Bumblebee die actief wordt ontwikkeld.
“Op basis van de timing van zijn verschijning in het dreigingslandschap en het gebruik door meerdere cybercriminelen, is het waarschijnlijk dat Bumblebee, zo niet een directe vervanging voor BazaLoader, dan een nieuwe, multifunctionele tool is die wordt gebruikt door actoren die in het verleden de voorkeur gaven aan andere malware,” beveiligingsbedrijf Proofpoint zei in een rapport gedeeld met The Hacker News.
Campagnes die de nieuwe, zeer geavanceerde loader distribueren, zouden in maart 2022 zijn begonnen, terwijl ze overlappingen met kwaadaardige activiteiten delen die leidden tot de inzet van Conti en Diavol ransomware, waardoor de mogelijkheid ontstond dat de loader zou kunnen fungeren als een voorloper van ransomware-aanvallen.
“Bedreigingsactoren die Bumblebee gebruiken, worden geassocieerd met malware-payloads die zijn gekoppeld aan daaropvolgende ransomware-campagnes”, aldus de onderzoekers.
Naast anti-virtualisatiecontroles, is Bumblebee geschreven in C++ en is het ontworpen om te fungeren als een downloader voor het ophalen en uitvoeren van next-stage payloads, waaronder Cobalt Strike, Sliver, Meterpreter en shellcode.
Interessant is dat de toegenomen detectie van de malware-loader in het bedreigingslandschap overeenkomt met de verdwijning van BazaLoader-implementaties sinds februari 2022, een andere populaire loader die is ontwikkeld door de makers van de inmiddels ter ziele gegane TrickBot-bende, die sindsdien is opgenomen in Conti.
Aanvalketens die Bumblebee verspreiden, hebben de vorm aangenomen van e-mailphishing-lokmiddelen van het merk DocuSign die frauduleuze links of HTML-bijlagen bevatten, waardoor potentiële slachtoffers naar een gecomprimeerd ISO-bestand gehost op Microsoft OneDrive.
Bovendien maakt de ingesloten URL in de HTML-bijlage gebruik van een verkeersrichtingssysteem (TDS) genaamd Prometheus – dat te koop is op ondergrondse platforms voor $ 250 per maand – om de URL’s om te leiden naar de archiefbestanden op basis van de tijdzone en koekjes van de slachtoffers.
De ZIP-bestanden bevatten op hun beurt .LNK- en .DAT-bestanden, waarbij het Windows-snelkoppelingsbestand de laatste met de Bumblebee-downloader uitvoert, voordat het wordt gebruikt om BazaLoader- en IcedID-malware af te leveren.
Een tweede campagne in april 2022 betrof een thread-hijacking-schema waarbij legitieme e-mails met factuurthema werden overgenomen om gezipte ISO-bestanden te verzenden, die vervolgens werden gebruikt om een DLL-bestand uit te voeren om de loader te activeren.
Er wordt ook misbruik gemaakt van het contactformulier op de website van het doelwit om een bericht te verzenden waarin wordt beweerd dat er auteursrechten op afbeeldingen worden geschonden, waarbij het slachtoffer wordt verwezen naar een Google Cloud Storage-link die resulteert in het downloaden van een gecomprimeerd ISO-bestand, waardoor de bovengenoemde infectiereeks wordt voortgezet .
De overgang van BazarLoader naar Bumblebee is verder bewijs dat deze dreigingsactoren – waarschijnlijk initiële toegangsmakelaars die doelen infiltreren en die toegang vervolgens aan anderen verkopen – de malware van een gemeenschappelijke bron ontvangen, terwijl ze ook een vertrek signaleren nadat de aanvalstoolkit van de Conti-groep werd publieke kennis rond dezelfde tijd.
De ontwikkeling overlapt ook met het feit dat Conti het beruchte TrickBot-botnet overneemt en sluit om zich te concentreren op de ontwikkeling van BazarLoader- en Anchor-malware. Het is niet meteen duidelijk of de lekken de bende ertoe hebben aangezet om BazaLoader te verlaten ten gunste van Bumblebee.
“De introductie van de Bumblebee-loader in het crimeware-bedreigingslandschap en de schijnbare vervanging voor BazaLoader toont de flexibiliteit die bedreigingsactoren hebben om snel TTP’s te verschuiven en nieuwe malware te adopteren”, zegt Sherrod DeGrippo, vice-president van dreigingsonderzoek en -detectie bij Proofpoint.
“Bovendien is de malware behoorlijk geavanceerd en laat het zien dat het in voortdurende, actieve ontwikkeling is en nieuwe methoden introduceert om detectie te omzeilen”, voegde DeGrippo eraan toe.
