Die Entwickler von Schadsoftware arbeiten kontinuierlich an der Weiterentwicklung des Malware-Loaders Bumblebee. Dieses Programm dient dazu; in ein System einzudringen und Schadsoftware zu installieren. Der Name Bumblebee bezieht sich auf den User-Agent der seit März 2022 bekannt ist. Früher wurde der Malware-Loader über Dokumente mit Macros verbreitet freilich blockt Microsoft solche Macros inzwischen standardmäßig. Deshalb haben die Schadsoftware-Entwickler ihre Vorgehensweise angepasst um weiterhin in Systeme einzudringen & Schaden anzurichten. Nun wird Bumblebee über E-Mail-Postfächer verbreitet.
Verbreitung von Bumblebee per Spear-Phishing
Bumblebee wird, ebenso wie viele andere Schadsoftware auch, per Phishing-Mails verbreitet und spezieller wird die Methode der Spear-Phishing Kampange verwendet. Dabei sendet der Angreifer gezielt vermeintlich vertrauenswürdige Mails an Individuen oder Organisationen. Im Anhang befindet sich ein Dokument oder Programm, welches beim Öffnen als Beigabe den Malware-Loader genauso viel mit mit installiert. Der wichtige Teil ist, dass diese Mails vertrauenswürdig erscheinen zu diesem Zweck diese ebenfalls vom Empfänger angenommen werden.
Änderung des Angriffsvektors
Ursprünglich nutzte Bumblebee für die Inilftration Macros. Seit der Änderung von Microsoft sind die Schadsoftware-Entwickler allerdings umgeschwenkt. Sie nutzen nun eine ISO Datei; welche ein DLL enthält. Dadurch werden bisherige Sperren umgangen. Die erste Ausführung tätigt das Opfer selbst, durch das Auspacken des Archivs, das Mounten der ISO Datei und das Anklicken des Windows Shortcuts (LNK).
Danach werden mittels Bumblebee Frameworks wie Cobalt Strike, Shellcode, Silver, Meterpreter oder andere auf dem angegriffenen System installiert. Diese Frameworks dienen dem Angreifer – sich lateral durch das System zu bewegen und den Zugriff auf das System erreicht der Angreifer per remote Desktop Software.
Dabei zielt der Angreifer auf das Erlangen von Nutzerdaten um sich auf dem System als Nutzer auszugeben. Damit wird der Zugriff auf ansonsten geschützte Dateien und systemrelevante Bestandteile wie der Active Dirextory Service (ADS) erreicht.
Für den englischsprachigen ursprünglichen Artikel schaut hier vorbei:
https://bit.ly/3Aa5nE5
und für generelle Infos & News zu Bumblebee ist dieser Link sinnvoll:
https://bit.ly/3K7CX1R
Ein paar Hinweise zu Phishing-Angriffen:
- nur überprüfte vertrauenswürdige E-Mails öffnen
- Keine Software von unbekannten Webseiten herunterladen
- das Nutzen einer Sandbox oder virtuellen Umgebung
- Das Blocken von URLs (firmenweit) welche Malware verbreiten können
- Absichern und Schützen von Daten und Dateien
Kommentare