Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il Ritorno di Bumblebee! Il downloader ransomware riemerge dopo Endgame!

Redazione RHC : 22 Ottobre 2024 17:18

Il downloader dannoso Bumblebee è tornato in circolazione più di quattro mesi dopo che la sua attività era stata interrotta dall’operazione internazionale Endgame dell’Europol nel maggio di quest’anno.

Bumblebee, secondo gli esperti, è stato creato dagli sviluppatori di TrickBot ed è apparso per la prima volta nel 2022 in sostituzione di BazarLoader. Questo downloader consente ai gruppi di ransomware di accedere alle reti delle vittime.

I principali metodi di distribuzione di Bumblebee sono il phishing, il malvertising e lo spam SEO. Ha promosso applicazioni come Zoom, Cisco AnyConnect, ChatGPT e Citrix Workspace. I tipici payload di malware distribuiti da Bumblebee includono beacon Cobalt Strike , programmi per il furto di dati e varie versioni di ransomware.

SCORSO DEL 25% SUL CORSO NIS2 FINO AL 31 DICEMBRE!
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi alla pagina del corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON NIS-84726 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

A maggio, nell’ambito dell’operazione Endgame, le forze dell’ordine hanno sequestrato più di un centinaio di server che supportavano le attività di diversi downloader dannosi, tra cui IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader e SystemBC. Da allora, Bumblebee è rimasto in gran parte inattivo. Tuttavia, i ricercatori di Netskope hanno recentemente registrato una nuova ondata di attacchi che hanno coinvolto Bumblebee, il che potrebbe indicarne il ritorno.

La catena dell’attacco inizia con un’e-mail di phishing che propone di scaricare un archivio in formato ZIP. L’archivio contiene un file di collegamento (.LNK) chiamato “Report-41952.lnk”, che scarica un file MSI dannoso tramite PowerShell mascherato da driver NVIDIA o programma di installazione del programma Midjourney.

Il file MSI viene eseguito utilizzando l’utilità msiexec.exe in modalità silenziosa (opzione /qn), che elimina l’interazione dell’utente. Per mascherare le sue azioni, il malware utilizza la tabella SelfReg, caricando la DLL direttamente nello spazio “msiexec.exe” e attivandone le funzioni.

Una volta distribuito, Bumblebee carica il suo payload in memoria e avvia il processo di decompressione. I ricercatori hanno notato che la nuova variante del malware utilizza la stringa “NEW_BLACK” per decrittografare la configurazione e due identificatori di campagna: “msi” e “lnk001”.

Sebbene Netskope non abbia fornito dati sulla dimensione della campagna o sui tipi di payload scaricati, la ricerca evidenzia i primi segnali di un possibile revival di Bumblebee. L’elenco completo degli indicatori di compromissione è disponibile su GitHub.

Il ritorno di Bumblebee ci ricorda che, anche dopo operazioni riuscite contro le minacce informatiche, non dobbiamo abbassare la guardia: nuove attività dannose possono sempre emergere dall’ombra, cambiando l’aspetto ma non le intenzioni.

ZIP file (SHA256)

2bca5abfac168454ce4e97a10ccf8ffc068e1428fa655286210006b298de42fb

LNK file (SHA256)

106c81f547cfe8332110520c968062004ca58bcfd2dbb0accd51616dd694721f

MSI file (SHA256)

c26344bfd07b871dd9f6bd7c71275216e18be265e91e5d0800348e8aa06543f9
0ab5b3e9790aa8ada1bbadd5d22908b5ba7b9f078e8f5b4e8fcc27cc0011cce7
d3f551d1fb2c307edfceb65793e527d94d76eba1cd8ab0a5d1f86db11c9474c3
d1cabe0d6a2f3cef5da04e35220e2431ef627470dd2801b4ed22a8ed9a918768

Bumblebee payload (SHA256)

7df703625ee06db2786650b48ffefb13fa1f0dae41e521b861a16772e800c115

Payload URL

hxxp:///193.242.145.138/mid/w1/Midjourney.msi
hxxp://193.176.190.41/down1/nvinstall.msi

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.