Détection de Malware BumbleBee

Les chercheurs en sécurité rapportent une activité malveillante associée à la distribution du malware BumbleBee remontant à l’intermédiaire d’accès initial (IAB) surnommé Exotic Lily. Les données de recherche suggèrent que les adversaires utilisent des outils de transfert de fichiers tels que TransferXL, TransferNow et WeTransfer, pour propager le malware BumbleBee. Le malware est utilisé pour lancer des attaques Cobalt Strike .

Détecter le Malware BumbleBee

Pour aider les organisations à mieux protéger leur infrastructure, nos développeurs astucieux de Threat Bounty Nattatorn Chuensangarun and Osman Demir ont récemment publié un ensemble de règles Sigma dédiées qui permettent une détection rapide du malware BumbleBee. Les équipes de sécurité peuvent télécharger ces règles depuis la plateforme Detection as Code de SOC Prime :

Utilisation possible de Malware BumbleBee dans la campagne EXOTIC LILY (via process_creation)

Exécution possible de Malware BumbleBee par URLs TransferXL dans la campagne EXOTIC LILY (via process access)

Evasion défensive suspecte du Malware BumbleBee (mai 2022) en chargeant DLL avec Rundll32 (via cmdline)

Les règles sont alignées avec la dernière version v.10 du cadre MITRE ATT&CK®, abordant les tactiques d’accès initial et d’évasion défensive avec le phishing (T1566), l’injection de processus (T1055) et l’exécution par proxy avec binaire signé (T1218) comme techniques principales.

Cliquez sur le bouton Voir les détections pour voir la liste complète des règles Sigma pour détecter l’infection par le malware BumbleBee. Toutes les règles sont mappées au cadre MITRE ATT&CK, soigneusement étayées et vérifiées. Êtes-vous désireux de créer vos propres règles Sigma et YARA pour rendre le monde plus sûr ? Rejoignez notre programme Threat Bounty pour obtenir des récompenses récurrentes en échange de votre précieuse contribution !

Voir les détections Rejoindre Threat Bounty

Analyse du Malware BumbleBee

Le paysage des menaces a récemment acquis un nouveau malware, nommé BumbleBee. BumbleBee est un chargeur écrit en C++, principalement constitué d’une fonction unique qui gère l’initialisation, le traitement des réponses et l’envoi de requêtes. Lorsque le malware est exécuté sur un appareil compromis, il collecte les données de la victime et les communique au serveur C2. Le malware est utilisé pour récupérer et exécuter des charges utiles malveillantes supplémentaires, telles que Cobalt Strike, Sliver, et Meterpreter.

. Les chercheurs suggèrent que derrière la propagation du malware BumbleBee se trouve un IAB suivi sous le nom d’Exotic Lily. Le groupe de menace est associé aux activités d’adversaires liés à la Russie connus sous le nom de Conti Group.

. Il existe différentes façons de distribuer BumbleBee, mais lors de la dernière campagne, des adversaires ont été observés en train d’abuser de services de transfert de fichiers légitimes. Le flux d’infection du malware BumbleBee est le suivant : le malware arrive sur un appareil ciblé sous la forme d’une archive zip armée. Le fichier zip contient une image disque ISO. Lorsque la victime exécute ce fichier, il se monte comme un lecteur DVD. Un raccourci Windows visible et une DLL malveillante pour BumbleBee sont inclus dans le fichier ISO.

Pour détecter en temps opportun cette menace et d’autres menaces émergentes, profitez des avantages de la défense cybernétique collaborative en rejoignant notre communauté mondiale de cybersécurité sur la plateforme Detection as Code de SOC Prime . Profitez de détections précises et opportunes fournies par des professionnels chevronnés du monde entier pour renforcer les opérations et la posture de sécurité de votre équipe de SOC.