Detecção de Malware BumbleBee

Pesquisadores de segurança relatam atividades maliciosas associadas à distribuição do malware BumbleBee, rastreado até o corretor de acesso inicial (IAB) apelidado Exotic Lily. Dados de pesquisa sugerem que os adversários usam ferramentas de transferência de arquivos como TransferXL, TransferNow e WeTransfer para espalhar o malware BumbleBee. O malware é usado para lançar ataques Cobalt Strike .

Detectar Malware BumbleBee

Para ajudar as organizações a proteger melhor sua infraestrutura, nossos desenvolvedores atentos do Threat Bounty Nattatorn Chuensangarun and Osman Demir recentemente lançaram um conjunto de regras Sigma dedicadas que permitem a rápida detecção de malware BumbleBee. As equipes de segurança podem baixar essas regras na plataforma Detection as Code da SOC Prime:

Possível Uso de Malware BumbleBee na Campanha EXOTIC LILY (via process_creation)

Possível Execução de Malware Bumblebee por URLs TransferXL na Campanha EXOTIC LILY (via process access)

Evasão de Defesa Suspeita pelo Malware Bumblebee (Maio 2022) Carregando DLL com Rundll32 (via linha de comando)

As regras estão alinhadas com a última versão do framework MITRE ATT&CK® v.10, abordando as táticas de Acesso Inicial e Evasão de Defesa com Phishing (T1566), Injeção de Processo (T1055) e Execução de Proxy Binário Assinado (T1218) como as principais técnicas.

Clique no botão Ver Detecções para ver a lista completa de regras Sigma para detectar a infecção por malware BumbleBee. Todas as regras são mapeadas no framework MITRE ATT&CK, meticulosamente curadas e verificadas. Está ansioso para criar suas próprias regras Sigma e YARA para tornar o mundo mais seguro? Junte-se ao nosso Programa Threat Bounty para receber recompensas recorrentes por sua valiosa contribuição!

Ver Detecções Junte-se ao Threat Bounty

Análise de Malware BumbleBee

O cenário de ameaças recentemente adquiriu uma nova peça de malware, chamado BumbleBee. BumbleBee é um carregador escrito em C++, consistindo principalmente de uma única função que lida com inicialização, tratamento de respostas e envio de solicitações. Quando o malware é lançado em um dispositivo comprometido, ele coleta dados da vítima, comunicando-os ao servidor C2. O malware é usado para buscar e executar cargas maliciosas adicionais, como Cobalt Strike, Sliver, e Meterpreter.

Pesquisadores sugerem que por trás da disseminação do malware BumbleBee está um IAB rastreado como Exotic Lily. O grupo de ameaças está associado às atividades dos adversários ligados à Rússia, conhecidos como o Grupo Conti.

Há diferentes maneiras de distribuir o BumbleBee, mas na campanha mais recente, os adversários foram vistos fazendo uso indevido de serviços legítimos de transferência de arquivos. O fluxo de infecção do Malware BumbleBee é o seguinte: o malware chega a um dispositivo alvo como parte de um arquivo zip armado. O arquivo zip contém uma imagem de disco ISO. Quando a vítima executa esse arquivo, ele monta como uma unidade de DVD. Um atalho visível do Windows e uma DLL de malware para BumbleBee são incluídos no arquivo ISO.

Para detectar de maneira oportuna essa e outras ameaças emergentes, aproveite os benefícios da defesa cibernética colaborativa juntando-se à nossa comunidade global de cibersegurança na plataforma Detection as Code da SOC Prime. Tenha detecções precisas e oportunas entregues por profissionais experientes de todo o mundo para impulsionar as operações da sua equipe SOC e a postura de segurança.