Bumblebee Kötü Amaçlı Yazılım Yeni Hilelerle Geri Dönüyor, ABD İşletmelerini Hedef Alıyor

Bumblebee olarak bilinen kötü şöhretli kötü amaçlı yazılım yükleyici ve ilk erişim aracısı, Şubat 2024'te gözlemlenen yeni bir kimlik avı kampanyasının parçası olarak dört aylık bir aradan sonra yeniden ortaya çıktı.

Kurumsal güvenlik firması Proofpoint, etkinliğin ABD'deki kuruluşları OneDrive URL'lerine bağlantılar içeren sesli mesaj temalı cazibelerle hedeflediğini söyledi.

Şirket Salı günü yayınladığı bir raporda, "URL'ler, "ReleaseEvans#96.docm" (dosya uzantısından önceki rakamlar değişiyordu) gibi adlara sahip bir Word dosyasına yönlendirdi" dedi. "Word belgesi, tüketici elektroniği şirketi Humane'ı taklit etti."

Belgeyi açmak, uzak bir sunucudan başka bir PowerShell komut dosyası indirmek ve yürütmek üzere bir PowerShell komutu başlatmak için VBA makrolarından yararlanır ve bu da Bumblebee yükleyicisini alır ve çalıştırır.

İlk olarak Mart 2022'de tespit edilen Bumblebee, esas olarak fidye yazılımı gibi takip yüklerini indirmek ve yürütmek için tasarlanmıştır. Daha önce BazaLoader (diğer adıyla BazarLoader) ve IcedID'yi teslim ettiğini gözlemleyen birden fazla suç yazılımı tehdit aktörü tarafından kullanıldı.

Ayrıca, tehdit aktörleri Conti ve TrickBot siber suç sendikası tarafından BazarLoader'ın yerini alacak şekilde geliştirildiğinden şüpheleniliyor. Eylül 2023'te Intel 471, yükleyiciyi yaymak için Web Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) sunucularını kullanan bir Bumblebee dağıtım kampanyasını açıkladı.

Saldırı zinciri, özellikle Microsoft'un Temmuz 2022'den itibaren varsayılan olarak internetten indirilen Office dosyalarındaki makroları engellemeye başladığı ve tehdit aktörlerinin yaklaşımlarını değiştirmesine ve çeşitlendirmesine neden olduğu düşünüldüğünde, saldırı zincirindeki makro özellikli belgelere dayanmasıyla dikkat çekiyor.

Makro tabanlı saldırı, kimlik avı e-postalarının Bumblebee yürütülebilir dosyalarını taşıyan sıkıştırılmış LNK dosyalarıyla veya yükleyiciyi yüklemek için CVE-2023-38831 olarak izlenen WinRAR kusurundan yararlanan bir RAR dosyasını bırakmak için HTML kaçakçılığından yararlanan HTML ekleriyle geldiği ara öncesi kampanyalardan da önemli ölçüde farklıdır.

Bumblebee'nin geri dönüşü, QakBot, ZLoader ve PikaBot'un yeni varyantlarının yeniden ortaya çıkmasıyla aynı zamana denk geliyor ve QakBot örnekleri Microsoft Software Installer (MSI) dosyaları biçiminde dağıtılıyor.

Siber güvenlik firması Sophos, Mastodon'da yaptığı açıklamada, ".MSI, bir DLL içeren bir Windows .cab (Kabine) arşivi bırakıyor" dedi. ".MSI, DLL'yi .cab'den çıkarır ve kabuk kodunu kullanarak yürütür. Kabuk kodu, DLL'nin kendisinin ikinci bir kopyasını oluşturmasına ve bot kodunu ikinci örneğin bellek alanına enjekte etmesine neden olur."

En son QakBot yapıtlarının, DaveCrypter adlı bir şifreleme kötü amaçlı yazılımı kullanmak da dahil olmak üzere dizeleri ve diğer bilgileri gizlemek için kullanılan şifrelemeyi sertleştirdiği ve analiz etmeyi daha zor hale getirdiği bulundu. Yeni nesil ayrıca, kötü amaçlı yazılımın bir sanal makinede mi yoksa korumalı alanda mı çalıştığını tespit etme yeteneğini de eski haline getiriyor.

Bir diğer önemli değişiklik, kötü amaçlı yazılım ile komuta ve kontrol (C2) sunucusu arasındaki tüm iletişimin, Ağustos 2023'ün sonlarında QakBot'un altyapısının sökülmesinden önceki sürümlerde kullanılandan daha güçlü bir yöntem olan AES-256 kullanılarak şifrelenmesini içerir.

Sophos X-Ops'un baş araştırmacısı Andrew Brandt, "QakBot botnet altyapısının kaldırılması bir zaferdi, ancak botun yaratıcıları özgür kalıyor ve QakBot'un orijinal kaynak koduna erişimi olan biri yeni yapıları deniyor ve bu son varyantlarla suları test ediyor" dedi.

"En dikkate değer değişikliklerden biri, botun bota sabit kodlanmış varsayılan yapılandırmaları gizlemek için kullandığı şifreleme algoritmasında yapılan bir değişikliği içeriyor ve bu da analistlerin kötü amaçlı yazılımın nasıl çalıştığını görmesini zorlaştırıyor; saldırganlar ayrıca sanal makine (VM) farkındalığı gibi daha önce kullanımdan kaldırılan özellikleri geri yüklüyor ve bunları bu yeni sürümlerde test ediyor."

QakBot ayrıca Ocak 2024'te FakeUpdates'in (diğer adıyla SocGholish) arkasında, ancak Formbook, Nanocore, AsyncRAT, Remcos RAT ve Agent Tesla gibi diğer ailelerin önünde en yaygın ikinci kötü amaçlı yazılım olarak ortaya çıktı.

Gelişme, Malwarebytes'in Barclays gibi finans kurumlarını taklit eden kimlik avı sitelerinin, var olmayan sorunları çözmek ve nihayetinde tehdit aktörlerinin makinenin kontrolünü ele geçirmesine izin vermek için potansiyel hedefleri AnyDesk gibi meşru uzak masaüstü yazılımlarını indirmeleri için kandırdığı yeni bir kampanyayı ortaya çıkarmasıyla geldi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.