Pesquisadores de segurança relatam atividades maliciosas associadas à distribuição do malware BumbleBee, rastreado até o corretor de acesso inicial (IAB) apelidado Exotic Lily. Dados de pesquisa sugerem que os adversários usam ferramentas de transferência de arquivos como TransferXL, TransferNow e WeTransfer para espalhar o malware BumbleBee. O malware é usado para lançar ataques Cobalt Strike .
Detectar Malware BumbleBee
Para ajudar as organizações a proteger melhor sua infraestrutura, nossos desenvolvedores atentos do Threat Bounty Nattatorn Chuensangarun and Osman Demir recentemente lançaram um conjunto de regras Sigma dedicadas que permitem a rápida detecção de malware BumbleBee. As equipes de segurança podem baixar essas regras na plataforma Detection as Code da SOC Prime:
Possível Uso de Malware BumbleBee na Campanha EXOTIC LILY (via process_creation)
As regras estão alinhadas com a última versão do framework MITRE ATT&CK® v.10, abordando as táticas de Acesso Inicial e Evasão de Defesa com Phishing (T1566), Injeção de Processo (T1055) e Execução de Proxy Binário Assinado (T1218) como as principais técnicas.
Clique no botão Ver Detecções para ver a lista completa de regras Sigma para detectar a infecção por malware BumbleBee. Todas as regras são mapeadas no framework MITRE ATT&CK, meticulosamente curadas e verificadas. Está ansioso para criar suas próprias regras Sigma e YARA para tornar o mundo mais seguro? Junte-se ao nosso Programa Threat Bounty para receber recompensas recorrentes por sua valiosa contribuição!
Ver Detecções Junte-se ao Threat Bounty
Análise de Malware BumbleBee
O cenário de ameaças recentemente adquiriu uma nova peça de malware, chamado BumbleBee. BumbleBee é um carregador escrito em C++, consistindo principalmente de uma única função que lida com inicialização, tratamento de respostas e envio de solicitações. Quando o malware é lançado em um dispositivo comprometido, ele coleta dados da vítima, comunicando-os ao servidor C2. O malware é usado para buscar e executar cargas maliciosas adicionais, como Cobalt Strike, Sliver, e Meterpreter.
Pesquisadores sugerem que por trás da disseminação do malware BumbleBee está um IAB rastreado como Exotic Lily. O grupo de ameaças está associado às atividades dos adversários ligados à Rússia, conhecidos como o Grupo Conti.
Há diferentes maneiras de distribuir o BumbleBee, mas na campanha mais recente, os adversários foram vistos fazendo uso indevido de serviços legítimos de transferência de arquivos. O fluxo de infecção do Malware BumbleBee é o seguinte: o malware chega a um dispositivo alvo como parte de um arquivo zip armado. O arquivo zip contém uma imagem de disco ISO. Quando a vítima executa esse arquivo, ele monta como uma unidade de DVD. Um atalho visível do Windows e uma DLL de malware para BumbleBee são incluídos no arquivo ISO.
Para detectar de maneira oportuna essa e outras ameaças emergentes, aproveite os benefícios da defesa cibernética colaborativa juntando-se à nossa comunidade global de cibersegurança na plataforma Detection as Code da SOC Prime. Tenha detecções precisas e oportunas entregues por profissionais experientes de todo o mundo para impulsionar as operações da sua equipe SOC e a postura de segurança.
