Rilevamento del Malware BumbleBee

I ricercatori di sicurezza segnalano un’attività dannosa associata alla distribuzione del malware BumbleBee rintracciato al broker di accesso iniziale (IAB) chiamato Exotic Lily. I dati di ricerca suggeriscono che gli avversari utilizzano strumenti di trasferimento file come TransferXL, TransferNow e WeTransfer, per diffondere il malware BumbleBee. Il malware viene utilizzato per lanciare attacchi di Cobalt Strike .

Rilevare il Malware BumbleBee

Per aiutare le organizzazioni a proteggere meglio la loro infrastruttura, i nostri accorti sviluppatori di Threat Bounty Nattatorn Chuensangarun and Osman Demir hanno recentemente rilasciato un set di regole Sigma dedicate che consentono una rapida rilevazione del malware BumbleBee. I team di sicurezza possono scaricare queste regole dalla piattaforma Detection as Code di SOC Prime:

Possibile Uso di Malware BumbleBee nella Campagna EXOTIC LILY (tramite process_creation)

Possibile Esecuzione di Malware BumbleBee tramite URL di TransferXL nella Campagna EXOTIC LILY (tramite accesso al processo)

Evasione Difensiva Sospetta da parte di Malware BumbleBee (Maggio 2022) tramite Caricamento di DLL con Rundll32 (tramite cmdline)

Le regole sono allineate con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando le tattiche di Accesso Iniziale ed Evasione Difensiva con Phishing (T1566), Iniezione di Processo (T1055) e Esecuzione di Proxy Binari Firmati (T1218) come tecniche primarie.

Premi il pulsante Visualizza Rilevamenti per vedere l’elenco completo delle regole Sigma per rilevare l’infezione da malware BumbleBee. Tutte le regole sono mappate al framework MITRE ATT&CK, accuratamente curate e verificate. Sei impaziente di creare le tue regole Sigma e YARA per rendere il mondo più sicuro? Unisciti al nostro Programma Threat Bounty per ottenere ricompense ricorrenti per il tuo prezioso contributo!

Visualizza Rilevamenti Unisciti al Threat Bounty

Analisi del Malware BumbleBee

Il panorama delle minacce ha recentemente acquisito un nuovo malware, denominato BumbleBee. BumbleBee è un loader scritto in C++, composto principalmente da una singola funzione che gestisce l’inizializzazione, la gestione delle risposte e l’invio delle richieste. Quando il malware viene lanciato su un dispositivo compromesso, raccoglie i dati della vittima, comunicandoli al server C2. Il malware è utilizzato per recuperare ed eseguire payload maligni aggiuntivi, come Cobalt Strike, Sliver, e Meterpreter.

Si suggerisce che dietro la diffusione del malware BumbleBee ci sia un IAB tracciato come Exotic Lily. Il gruppo di minacce è associato alle attività di avversari legati alla Russia noti come il that behind the spread of BumbleBee malware stands an IAB tracked as Exotic Lily. The threat group is associated with the activities of Russia-linked adversaries known as the Conti Group.

Ci sono diversi modi per distribuire BumbleBee, tuttavia, nella campagna più recente sono stati individuati avversari che hanno abusato di servizi legittimi di trasferimento file. Il flusso di infezione del malware BumbleBee è il seguente: il malware si insinua su un dispositivo mirato come parte di un archivio zip armato. Il file zip contiene un’immagine del disco ISO. Quando la vittima esegue questo file, viene montato come un’unità DVD. Un collegamento visibile di Windows e una DLL di malware per BumbleBee sono inclusi nel file ISO.

Per rilevare tempestivamente queste e altre minacce emergenti, sfrutta i benefici della difesa cibernetica collaborativa unendoti alla nostra comunità globale di cybersecurity su la piattaforma Detection as Code di SOC Prime. Approfitta di rilevamenti accurati e tempestivi forniti da professionisti esperti di tutto il mondo per migliorare le operazioni del tuo team SOC e la postura di sicurezza.