Detección de Malware BumbleBee

Investigadores de seguridad informan sobre actividades maliciosas asociadas con la distribución del malware BumbleBee, rastreado hasta el corredor de acceso inicial (IAB) apodado Exotic Lily. Los datos de investigación sugieren que los adversarios usan herramientas de transferencia de archivos como TransferXL, TransferNow y WeTransfer para propagar el malware BumbleBee. El malware se utiliza para lanzar ataques de Cobalt Strike .

Detectar Malware BumbleBee

Para ayudar a las organizaciones a proteger mejor su infraestructura, nuestros desarrolladores de Threat Bounty Nattatorn Chuensangarun and Osman Demir han lanzado recientemente un conjunto de reglas Sigma dedicadas que permiten la rápida detección del malware BumbleBee. Los equipos de seguridad pueden descargar estas reglas de la plataforma Detection as Code de SOC Prime:

Posible Uso de Malware BumbleBee en Campaña EXOTIC LILY (a través de creación de procesos)

Posible Ejecución de Malware BumbleBee por URLs de TransferXL en Campaña EXOTIC LILY (a través de acceso a procesos)

Evasión de Defensa Sospechosa de Malware BumbleBee (Mayo 2022) Cargando DLL con Rundll32 (a través de cmdline)

Las reglas están alineadas con el marco MITRE ATT&CK® v.10, abordando las tácticas de Acceso Inicial y Evasión de Defensa con Phishing (T1566), Inyección de Procesos (T1055) y Ejecución de Binarios Firmados Proxy (T1218) como las técnicas principales.

Presiona el botón Ver Detecciones para ver la lista completa de reglas Sigma para detectar la infección por malware BumbleBee. Todas las reglas están mapeadas al marco MITRE ATT&CK, minuciosamente curadas y verificadas. ¿Estás ansioso por crear tus propias reglas Sigma y YARA para hacer el mundo más seguro? ¡Únete a nuestro Programa Threat Bounty para obtener recompensas recurrentes por tu valiosa contribución!

Ver Detecciones Unirse a Threat Bounty

Análisis de Malware BumbleBee

El panorama de amenazas ha adquirido recientemente una nueva pieza de malware, denominado BumbleBee. BumbleBee es un cargador escrito en C++, que consta principalmente de una sola función que maneja la inicialización, el manejo de respuestas y el envío de solicitudes. Cuando el malware se lanza en un dispositivo comprometido, recopila los datos de la víctima, comunicándolos al servidor C2. El malware se utiliza para obtener y ejecutar cargas maliciosas adicionales, como Cobalt Strike, Sliver y Meterpreter.

Los investigadores sugieren que detrás de la propagación del malware BumbleBee se encuentra un IAB rastreado como Exotic Lily. El grupo de amenazas está asociado con las actividades de adversarios vinculados a Rusia conocidos como el Grupo Conti.

Existen diferentes formas de distribuir BumbleBee, pero en la última campaña se ha observado a los adversarios abusando de servicios legítimos de transferencia de archivos. El flujo de infección del Malware BumbleBee es el siguiente: el malware llega a un dispositivo objetivo como parte de un archivo zip armado. El archivo zip contiene una imagen de disco ISO. Cuando la víctima ejecuta este archivo, se monta como una unidad de DVD. Un acceso directo visible de Windows y un DLL de malware para BumbleBee están incluidos en el archivo ISO.

Para detectar oportunamente esta y otras amenazas emergentes, aprovecha los beneficios de la defensa cibernética colaborativa uniéndote a nuestra comunidad global de ciberseguridad en la plataforma Detection as Code de SOC Prime . Obtén detecciones precisas y oportunas proporcionadas por profesionales experimentados de todo el mundo para impulsar las operaciones y el nivel de seguridad de tu equipo SOC.