Le chargeur de malware « Bumblebee » a rompu ses deux mois de vacances avec une nouvelle campagne qui utilise de nouvelles techniques de distribution qui abusent des services WebDAV de 4shared.
WebDAV (Web Distributed Authoring and Versioning) est une extension du protocole HTTP qui permet aux clients d’effectuer des opérations de création à distance telles que la création, l’accès, la mise à jour et la suppression du contenu du serveur Web.
Les chercheurs d’Intel471 rapportent que la dernière campagne de Bumblebee, qui a débuté le 7 septembre 2023, abuse des services WebDAV 4shared pour distribuer le chargeur, s’adapter à la chaîne d’attaque et effectuer plusieurs actions post-infection.
L’abus de la plateforme 4shared, un fournisseur de services d’hébergement de fichiers légitime et bien connu, aide les opérateurs de Bumblebee à échapper aux listes de blocage et à bénéficier d’une haute disponibilité de l’infrastructure.
Dans le même temps, le protocole WebDAV leur offre de multiples façons de contourner les systèmes de détection comportementale et l’avantage supplémentaire d’une distribution rationalisée, d’un changement facile de charge utile, etc.
Courriels indésirables
La campagne actuelle de Bumblebee s’appuie sur des courriers électroniques malveillants qui prétendent être des analyses, des factures et des notifications pour inciter les destinataires à télécharger des pièces jointes malveillantes.
La plupart des pièces jointes sont des fichiers LNK de raccourci Windows, mais il existe également des archives ZIP contenant des fichiers LNK, probablement un signe que les opérateurs de Bumblebee expérimentent pour déterminer ce qui fonctionne le mieux.
L’ouverture du fichier LNK lance une série de commandes sur la machine de la victime, en commençant par une pour monter un dossier WebDAV sur un lecteur réseau à l’aide d’informations d’identification codées en dur pour un compte de stockage 4shared.
4Shared est un site de partage de fichiers qui permet aux utilisateurs de stocker des fichiers dans le cloud et d’y accéder via WebDAV, FTP et SFTP. Le service était auparavant répertorié dans le rapport Notorious Markets 2016 du gouvernement américain pour l’hébergement de contenu protégé par le droit d’auteur.
Ici aussi, Intel471 a repéré plusieurs variantes du jeu de commandes, depuis le montage des copies de fichiers, l’extraction et l’exécution des fichiers à partir du lecteur monté, ce qui est une autre indication d’essai d’optimisation.
Intel471 rapporte avoir vu les auteurs de la menace expérimenter différentes méthodes pour monter des copies de fichiers, extraire et exécuter des fichiers à partir du lecteur monté, indiquant qu’ils tentent d’optimiser la chaîne d’attaque.
Nouveau bourdon
Les analystes ont également repéré une version mise à jour du chargeur de malware Bumblebee utilisée dans cette campagne, qui est passée du protocole WebSocket au protocole TCP pour les communications du serveur de commande et de contrôle (C2).
De plus, le nouveau chargeur a abandonné l’utilisation d’adresses C2 codées en dur. Il utilise désormais un algorithme de génération de domaine (DGA) pour générer 100 domaines sur l’espace de domaine de premier niveau (TLD) « .life » lors de l’exécution.
Les domaines sont générés à l’aide d’une valeur de départ statique de 64 bits, et Bumblebee s’y connecte en parcourant la liste créée jusqu’à ce qu’il en trouve une qui se résout en une adresse IP de serveur C2 active.
Bumblebee a déjà été associé à la distribution de charges utiles de ransomwares, notamment Conti et Akira. L’adoption d’un canal de distribution plus efficace et plus insaisissable est donc une évolution inquiétante.
En outre, l’adoption de DGA rend plus difficile la cartographie de l’infrastructure de Bumblebee, le blocage de ses domaines et la perturbation significative de ses opérations, ce qui ajoute une complexité supplémentaire à la mise en œuvre d’actions préventives contre le chargeur de logiciels malveillants.