Ce billet de blog sur le malware BumbleBee a été initialement publié sous la forme d’un rapport FLINT (SEKOIA.IO Flash Intelligence) envoyé à nos clients le 02 juin 2022.
Sommaire
BumbleBee est un nouveau chargeur malveillant, signalé pour la première fois par Google TAG en mars 2022, qui est utilisé par plusieurs Initial Access Brokers (IAB) pour prendre un premier pied dans les réseaux des victimes.
Ces dernières semaines, de nombreuses campagnes distribuant BumbleBee ont été observées dans la nature et les compromissions réussies conduisent souvent à des attaques de ransomwares. En effet, des affiliés de plusieurs gangs de rançongiciels (Conti, LockBit, AvosLocker, Diavol) ont été observés en train de livrer BumbleBee afin de supprimer une autre charge utile (Cobalt Strike, Meterpreter, Sliver, IcedID, Redline, etc.) et de déployer un rançongiciel. De plus, de SEKOIA.IO ont observé que le malware est toujours en développement avec de nouvelles fonctionnalités et améliorations. Toutes ces raisons font du chargeur BumbleBee une menace majeure à laquelle les entreprises doivent faire face en ce moment.
Chez SEKOIA.IO, nos chercheurs suivent cette menace depuis début avril 2022. Ils ont constaté une augmentation significative du nombre de serveurs BumbleBee C2 actifs et des échantillons observés. L’analyse de plusieurs échantillons de BumbleBee nous a permis d’identifier plusieurs versions et améliorations apportées au produit.
Analyse technique
Dans cette section, nous décrivons brièvement la chaîne d’infection typique utilisée pour livrer le chargeur BumbleBee. Nous partageons ensuite des détails techniques sur les modifications apportées aux dernières versions du malware, et comment nous suivons le serveur C2 actif et les échantillons de malware.
Avant d’entrer dans les détails techniques, le malware BumbleBee est un chargeur sophistiqué qui vise à télécharger et à exécuter une deuxième charge utile. Il met en œuvre plusieurs techniques de défense et d’évasion pour se cacher des systèmes de détection et rendre plus difficile l’analyse de la charge utile par les chercheurs en sécurité.
Chaîne d’infection typique
La plupart des campagnes de spearphishing distribuant le chargeur BumbleBee utilisent le même schéma d’attaque : un e-mail est envoyé à la victime avec une archive ZIP qui contient un fichier ISO. Le début de la chaîne d’attaque consiste à utiliser un fichier ISO qui contient un lien Windows (LNK) permettant d’exécuter le payload (DLL).
Dans l’exemple suivant, le fichier ISO contient deux fichiers :
- un fichier LNKNouveau Dossier.lnk
- une DLL exécutée par le fichier LNK
Comme le montre la figure ci-dessous, lorsque le fichier LNK est exécuté, il exécute la commande ci-dessous pour démarrer la DLL malveillante en utilisant rundll32.exe : C:\\Windows\\System32\\rundll32.exe procsvc.dll,HWgullOFkZ
Figure 1. Exemple de pièce jointe (fichier ISO non compressé) d’une campagne de spearphishing distribuant BumbleBee
Ce vecteur d’infection est de plus en plus utilisé par divers acteurs : APT (comme NOBELIUM), IABs (pour distribuer IcedID, BazarLoader, BumbleBee, et plus) et d’autres acteurs de la menace. Cette tendance semble être la conséquence de la désactivation par défaut des macros VBA dans les produits Microsoft Office, qui est l’une (exécution de code via les macros Office) des techniques les plus utilisées par les adversaires pour pénétrer dans le réseau.
Modifications dans la dernière version
La DLL BumbleBee utilise un crypteur pour désobscurcir un autre PE qui est chargé dans une nouvelle section de mémoire. Cette section spécifique est rapidement identifiable : une simple recherche de motif dans un débogueur en « mode DOS » peut mettre en évidence la mémoire nouvellement allouée avec la permission de lecture-écriture-exécution.
Une fois la nouvelle section vidé, la charge utile BumbleBee peut être analysée. Avant toute chose, il convient de noter que le logiciel malveillant a utilisé presque un copier/coller complet du projet github al-khaser, comme mentionné dans d’autres articles ou discussions liées à BumbleBee. Le code al-khaser implémente plusieurs techniques anti-détection. La figure ci-dessous montre que la fonction principale de la charge utile BumbleBee évite l’exécution si l’un des environnements anti-virtuels est repéré.
Figure 2. Vérifications anti-machine virtuelle dans le code BumbleBee
Une fois que le PE chargé est prêt et que les vérifications anti-VM sont réussies, le logiciel malveillant déchiffre ses adresses IP de commande et de contrôle (C2) avec une clé stockée en texte clair dans la section .data à l’aide Algorithme RC4. Cette routine de déchiffrement est également utilisée pour désobscurcir son identifiant de campagne.
Figure 3. Routine de désobfuscation dans le chargeur BumbleBee
Dans la plupart des charges utiles que nous étudions, trois blocs de données sont obscurcis à l’aide de RC4 :
- Une liste d’adresses IP C2 avec leur port associé
- Un identifiant de campagne, d’autres analystes identifient cet ID comme l’ID du botnet
- Un numéro (souvent 444 ou 4444)
Figure 4. Recette dans CyberChef pour obtenir les données obfusquées
Une fois que les adresses IP C2 ont été désobscurcies, le malware contacte l’un de ses C2 puis charge la charge utile finale (Meterpreter, Cobalt Strike, ou autre).
Dans les premières versions de BumbleBee analysées en avril 2022, le malware n’implémentait aucune obfuscation C2 : les adresses IP étaient stockées en clair dans le PE. Cette évolution montre que BumbleBee est encore en développement.
NB : Nous avons observé une utilisation massive de la clé « BLACK » dans le jeu de données des échantillons que nous avons analysés ainsi que de la clé « iKInPE9WrB« .
Suivi de l’infrastructure BumbleBee C2
BumbleBee C2 n’est pas très différent des autres botnets tels que BazarLoader, Qakbot et IcedID. Les certificats SSL utilisés pour le serveur BumbleBee C2 sont assez spécifiques. Après quelques analyses d’échantillons de logiciels malveillants et grâce aux moteurs de recherche d’appareils connectés à Internet, nous avons pu identifier un modèle commun et unique pour trouver les serveurs BumbleBee C2. L’heuristique finale est basée sur le certificat SSL et la réponse HTTP.
Les résultats heuristiques ont augmenté, passant de 5 serveurs C2 début avril à plus de 130 au moment de la rédaction de ce FLINT, comme le montre la figure suivante.
Figure 5. Nombre de serveurs BumbleBee C2 actifs par date
Cela montre que le chargeur BumbleBee a gagné en popularité parmi les acteurs de la menace, en particulier pour les Initial Access Brokers.
Échantillons
Nous avons écrit une règle YARA pour trouver des échantillons de BumbleBee – elle peut être trouvée dans la section IOCs & Technical Details. Les résultats de la règle YARA téléchargés sur une plateforme de partage d’échantillons confirment la tendance décrite précédemment.
BumbleBee est devenu en deux mois une menace majeure, principalement déployée par les Initial Access Brokers pour prendre pied au sein d’un réseau et larguer une deuxième charge utile. Les logiciels malveillants étant utilisés par les affiliés des gangs de rançongiciels, les entreprises doivent surveiller cette menace et protéger leurs actifs contre d’éventuelles compromissions de BumbleBee.
IOC et détails techniques
Serveurs C2 de BumbleBee
23.82.140[.]133 23.254.217[.]20 23.254.227[.]144 37.120.198[.]248 49.12.241[.]35 51.68.144[.]94 51.68.146[.]200 51.68.147[.]233 51.75.62[.]99 51.83.251[.]245 51.83.253[.]244 51.83.254[.]164 54.37.130[.]166 54.37.131[.]107 54.38.136[.]187 54.38.137[.]18 54.38.138[.]141 54.38.139[.]20 64.44.101[.]250 64.44.102[.]6 64.44.102[.]150 64.44.135[.]230 64.44.135[.]250 70.34.216[.]103 104.168.156[.]224 145.239.29[.]119 145.239.30[.]26 146.70.95[.]244 146.70.106[.]47 167.235.245[.]35 176.107.177[.]124 192.236.161[.]191 192.236.162[.]127 192.236.194[.]136 193.29.104[.]147 193.233.203[.]156 194.37.97[.]135 209.141.52[.]25
BumbleBee’s SHA-25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ègle YARA
rule loader_win_bumblebee {
meta:
version = "1.0"
malware = "BumbleBee"
reference = "https://blog.sekoia.io/bumblebee-a-new-trendy-loader-for-initial-access-brokers/"
source = "SEKOIA.IO"
classification = "TLP:WHITE"
strings:
$str0 = { 5a 00 3a 00 5c 00 68 00 6f 00 6f 00 6b 00 65 00 72 00 32 00 5c 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 5c 00 6d 00 64 00 35 00 2e 00 63 00 70 00 70 00 } // Z:\hooker2\Common\md5.cpp
$str1 = "/gates" ascii
$str2 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
condition:
uint16be(0) == 0x4d5a and all of them
}Références externes
- [Google] Exposer le courtier d’accès initial ayant des liens avec Conti
- [Cynet] Orion Threat Alert: Flight of the BumbleBee
- [Eli Salem’s Medium] The chronicles of Bumblebee: The Hook, l’abeille et la connexion Trickbot
- [Proofpoint] Ce n’est pas le Bumblebee d’Optimus Prime mais il se transforme encore
- [Github] Al-Khaser v0.81
Vous pouvez également lire notre article sur :
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !