Chargeur De Logiciels Malveillants Bumblebee

Le chargeur de logiciels malveillants connu sous le nom de Bumblebee est de plus en plus coopté par les acteurs de la menace associés à BazarLoader, TrickBot et IcedID dans leurs campagnes visant à violer les réseaux cibles pour les activités de post-exploitation.

« Les opérateurs de Bumblebee mènent des activités de reconnaissance intensives et redirigent la sortie des commandes exécutées vers des fichiers pour exfiltration », ont déclaré les chercheurs de Cybereason, Meroujan Antonyan et Alon Laufer. a dit dans une rédaction technique.

La Cyber-Sécurité

Bumblebee est apparu pour la première fois en mars 2022 lorsque le Threat Analysis Group (TAG) de Google a démasqué les activités d’un premier courtier d’accès surnommé Exotic Lily, lié au TrickBot et aux plus grands collectifs Conti.

Chargeur De Logiciels Malveillants Bumblebee

Généralement fourni via un accès initial acquis via des campagnes de harponnage, le mode opératoire a depuis été modifié en évitant les documents contenant des macros au profit des fichiers ISO et LNK, principalement en réponse à la décision de Microsoft de bloquer les macros par défaut.

Chargeur De Logiciels Malveillants Bumblebee

« La distribution du malware se fait par des e-mails de phishing avec une pièce jointe ou un lien vers une archive malveillante contenant Bumblebee », ont déclaré les chercheurs. « L’exécution initiale repose sur l’exécution de l’utilisateur final qui doit extraire l’archive, monter un fichier image ISO et cliquer sur un fichier de raccourci Windows (LNK). »

Publicité

Le fichier LNK, pour sa part, contient la commande pour lancer le chargeur Bumblebee, qui est ensuite utilisé comme conduit pour les actions de l’étape suivante telles que la persistance, l’élévation des privilèges, la reconnaissance et le vol d’informations d’identification.

La Cyber-Sécurité

Le cadre de simulation d’adversaire Cobalt Strike est également utilisé lors de l’attaque lors de l’obtention de privilèges élevés sur les terminaux infectés, permettant à l’acteur de la menace de se déplacer latéralement sur le réseau. La persistance est obtenue en déployant le logiciel de bureau à distance AnyDesk.

Dans l’incident analysé par Cybereason, les informations d’identification volées d’un utilisateur hautement privilégié ont ensuite été utilisées pour prendre le contrôle du Active Directorysans oublier de créer un compte utilisateur local pour l’exfiltration de données.

« Le temps qu’il a fallu entre l’accès initial et la compromission d’Active Directory était de moins de deux jours », a déclaré la société de cybersécurité. « Les attaques impliquant Bumblebee doivent être traitées comme critiques, […] et ce chargeur est connu pour la livraison de ransomwares. »

Rate this post
Publicité
Article précédentVivo X Fold S promet une réponse rapide au Samsung Galaxy Z Fold 4
Article suivantCodes Robloxian High School – gemmes et pièces gratuites
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici