بدافزار Bumblebee، یک لودر پیچیده می باشد که هدف اصلی آن استقرار باجافزار است. بدافزار Bumblebee پس از یک دوره وقفه 4 ماهه که فعالیتی از آن گزارش نشده بود؛ در فوریه 2024 دوباره ظاهر شد. بدافزار Bumblebee از تکنیکهای مبهم سازی و استفاده از PowerShell برای اجرا استفاده می کند که آن را به تهدیدی قوی در حملات سایبری تبدیل میکند.
بدافزار Bumblebee به استقرار فایلهای اجرایی مخرب و یا تزریق کد مخرب به فرآیندهای در حال اجرا شناخته می شود و رفتارهای متمایزی را بر اساس نوع شبکه قربانی (domain vs. workgroup) از خود نشان میدهد.
Indicators of Compromise (IoCs):
- کلیدهای رجیستری : Bumblebee کلیدهای رجیستری خاص مربوط به LSA* و Hives** را برای سرقت اعتبار هدف قرار می دهد.
- فرمان و کنترل: (Command and Control) بسته به محیط شبکه قربانی از دستوراتی مانند DEX*** (دانلود و اجرا)، DIJ (دانلود و تزریق) و SHI (تزریق کد شل) استفاده می کند.
- قانون : Yara یک قانون خاص برای شناسایی فعالیت بدافزار متمرکز است که نشاندهنده سطح پیچیدهای از فرار آن است.
بدافزار Bumblebee از مکانیسمهای پیچیده از جمله ایمیلهای فیشینگ با پیوستهای .zip یا .iso استفاده میکند. جریان اجرای آن به گونه ای تکامل یافته است که شامل استفاده از فایل های هارد دیسک مجازی (VHD)**** می شود که مخفی بودن آن را بیشتر افزایش می دهد.
بدافزار Bumblebee از اسکریپتهای PowerShell با چندین لایه رمزگذاری و مبهم سازی استفاده میکند و از تکنیکهایی مانند تزریق DLL برای اجرای بارهای مستقیم به حافظه و دور زدن تشخیص آنتیویروس استفاده میکند.
بدافزار Bumblebee پس از استقرار با استفاده از ابزارهایی مانند AdFind و اسکریپتهای سفارشی خود، جمعآوری اطلاعات در مورد نامهای دامنه، کاربران، میزبانها و شناسایی افراد در شبکه را آغاز میکند.
از Cobalt Strike***** هم استفاده میکند و به ماشینهای Active Directory راه دور برای کپی و استخراج اطلاعات حساس مانند فایل ntds.dit****** دسترسی دارد.
پیشگیری و کاهش آسیب حمله
به سازمانها توصیه میشود :
- احراز هویت چند عاملی را پیادهسازی کنند،
- پشتیبانگیری منظم انجام دهند.
- از تقسیمبندی شبکه برای محدود کردن حرکت جانبی استفاده کنند.
- راهحلهای امنیتی: باید شامل قابلیتهای تشخیص پیشرفته برای شناسایی و کاهش تکنیکهای پیچیده مورد استفاده توسط Bumblebee باشد، مانند روشهای بستهبندی سفارشی و مبهمسازی آن.
پ.ن:
* Local Security Authority Subsystem Service فرآیندی در سیستم عامل های مایکروسافت ویندوز است که وظیفه اجرای سیاست امنیتی در سیستم را بر عهده دارد. کاربرانی را که وارد رایانه یا سرور ویندوز می شوند تأیید می کند، تغییرات رمز عبور را کنترل می کند و نشانه های دسترسی ایجاد می کند.
** Hive یک گروه منطقی از کلیدها شامل کلیدهای فرعی و مقادیر در رجیستری ویندوز است که دارای مجموعهای از فایلهای پشتیبان می باشد که هنگام راهاندازی سیستم عامل یا ورود کاربر به حافظه بارگذاری میشوند. هر بار که کاربر جدیدی وارد کامپیوتر میشود، Hive جدیدی برای آن کاربر با یک فایل جداگانه برای پروفایل کاربر ایجاد می شود.
*** DEXیا Desktop Entry Execution، برنامه ای برای تولید و اجرای فایل های Desktop Entry از نوع Application است. Desktop Entry فایل کانفیگ راه اندازی در لینوکس است. عملکرد مشابه shortcuts در ویندوز دارد. در حال حاضرKDE Plasma و GNOME نمونه هایی از دسکتاپ برای لینوکس هستند.
**** VHD و جانشین آن VHDX فرمت های فایلی هستند که یک هارد دیسک مجازی را نشان می دهند. آنها ممکن است حاوی مواردی باشند که در یک هارد دیسک فیزیکی یافت می شود، مانند پارتیشن های دیسک و یک سیستم فایل، که به نوبه خود می تواند حاوی فایل ها و پوشه ها باشد.
***** Cobalt Strike یک نرم افزار شبیه سازی است که برای تست زیرساخت فناوری اطلاعات برای انعطاف پذیری در برابر حملات سایبری پیشرفته طراحی شده است. این فناوری تهدیدات واقع بینانه را در حملات تقلید می کند و سازمان ها را قادر می سازد تا آسیب پذیری های خود را ارزیابی کرده و بهتر از خود محافظت کنند.
****** NTDS (Windows NT Directory Services) خدمات است که توسط Microsoft Windows NT برای مکان یابی، مدیریت و سازماندهی منابع شبکه استفاده می شود. فایل dit یک پایگاه داده است که داده های Active Directory (شامل کاربران، گروه ها، عوامل امنیتی و هش رمز عبور) را ذخیره می کند.
منابع:
Cybersecsentinel
Bleeping Computer
Deepinstinct
Thedfirreport