BumbleBee Malware-Erkennung

[post-views]
Mai 23, 2022 · 3 min zu lesen
BumbleBee Malware-Erkennung

Sicherheitsforscher berichten über schädliche Aktivitäten im Zusammenhang mit der Verteilung von BumbleBee-Malware, die auf den als Exotic Lilybekannten Initial Access Broker (IAB) zurückgeführt werden. Forschungsdaten legen nahe, dass Gegner Dateitransfertools wie TransferXL, TransferNow und WeTransfer nutzen, um BumbleBee-Malware zu verbreiten. Die Malware wird verwendet, um Cobalt Strike Angriffe zu starten.

BumbleBee-Malware erkennen

Um Organisationen besser zu schützen, haben unsere engagierten Threat-Bounty-Entwickler Nattatorn Chuensangarun and Osman Demir kürzlich eine Reihe spezieller Sigma-Regeln veröffentlicht, die eine schnelle Erkennung der BumbleBee-Malware ermöglichen. Sicherheitsteams können diese Regeln von der SOC Prime Detection as Code-Plattform herunterladen:

Möglicher Einsatz von BumbleBee-Malware in der EXOTIC LILY-Kampagne (via process_creation)

Mögliche BumbleBee-Malware-Ausführung durch TransferXL-URLs in der EXOTIC LILY-Kampagne (via process access)

Verdächtige BumbleBee-Malware (Mai 2022) Verteidigungsausweichen durch Laden von DLL mit Rundll32 (via cmdline)

Die Regeln sind mit dem neuesten MITRE ATT&CK® Framework v.10 konform, die die Taktiken Initial Access und Defense Evasion mit Phishing (T1566), Process Injection (T1055) und Signed Binary Proxy Execution (T1218) als primäre Techniken adressieren.

Klicken Sie auf die Detektionen anzeigen Schaltfläche, um die vollständige Liste der Sigma-Regeln zur Erkennung der BumbleBee-Malware-Infektion zu sehen. Alle Regeln sind auf das MITRE ATT&CK Framework abgebildet, gründlich kuratiert und überprüft. Möchten Sie Ihre eigenen Sigma- und YARA-Regeln erstellen, um die Welt sicherer zu machen? Treten Sie unserem Threat Bounty-Programm bei, um wiederkehrende Belohnungen für Ihren wertvollen Beitrag zu erhalten!

Detektionen anzeigen Treten Sie dem Threat Bounty-Programm bei

Analyse der BumbleBee-Malware

Die Bedrohungslandschaft hat kürzlich ein neues Stück Malware erhalten, genannt BumbleBee. BumbleBee ist ein in C++ geschriebener Loader, der hauptsächlich aus einer einzigen Funktion besteht, die für die Initialisierung, die Antwortverarbeitung und das Senden von Anfragen zuständig ist. Wenn die Malware auf einem kompromittierten Gerät gestartet wird, sammelt sie die Daten des Opfers und kommuniziert diese an den C2-Server. Die Malware wird verwendet, um weitere schädliche Nutzdaten zu holen und auszuführen, wie Cobalt Strike, Sliver, und Meterpreter.

Forscher schlagen vor dass hinter der Verbreitung der BumbleBee-Malware ein IAB steht, das als Exotic Lily verfolgt wird. Die Bedrohungsgruppe wird mit Aktivitäten von Russland-verbundenen Gegnern in Verbindung gebracht, die als die Conti-Gruppe.

bekannt sind. Es gibt verschiedene Möglichkeiten, BumbleBee zu verteilen, doch in der letzten Kampagne wurden Gegner beobachtet, die legitime Dateiübertragungsdienste missbrauchen. Der Infektionsablauf der BumbleBee-Malware ist wie folgt: Die Malware gelangt als Teil eines waffenfähigen Zip-Archivs auf das Zielgerät. Die Zip-Datei enthält ein ISO-Disk-Image. Wenn das Opfer diese Datei ausführt, wird sie als DVD-Laufwerk eingebunden. Eine sichtbare Windows-Verknüpfung und eine Malware-DLL für BumbleBee sind in der ISO-Datei enthalten.

Um diese und andere aufkommende Bedrohungen rechtzeitig zu erkennen, nutzen Sie die Vorteile der kollaborativen Cyberverteidigung, indem Sie unserer globalen Cybersicherheitsgemeinschaft auf der SOC Prime Detection as Code Plattform beitreten. Profitieren Sie von genauen und zeitnahen Erkennungen, die von erfahrenen Fachleuten aus der ganzen Welt bereitgestellt werden, um die Operationen und die Sicherheitslage Ihres SOC-Teams zu verbessern.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.