BumbleBee : nouvelle porte d’accès des cybercriminels aux réseaux d’entreprise et à leurs données

0

Depuis mars 2022, les chercheurs de Proofpoint observent un nouveau chargeur de malwares nommé Bumblebee.

L’objectif de Bumblebee est d’installer une « backdoor » qui permet aux cybercriminels d’accéder plus tard au système et d’y installer des ransomwares. Bumblebee n’installe pas de malware, il offre l’accès du système aux cybercriminels. Le groupe Conti a notamment utilisé Bumblebee pour installer des ransomwares dans ses dernières campagnes.

Les chercheurs de Proofpoint ont remarqué que l’arrivée de Bumblebee coïncide avec la disparition de BazaLoader, un autre chargeur de malwares. Cela peut s’expliquer par la plus grande efficacité ainsi que la discrétion de Bumblebee.

Les chercheurs de Proofpoint ont observé que Bumblebee déposait Cobalt Strike, un shellcode, Sliver et Meterpreter. Le nom du malware provient de l’agent utilisateur unique « Bumblebee » utilisé dans les premières campagnes. Le groupe TA579 serait derrière ce chargeur de malwares.

Les principales conclusions sont les suivantes :

  • Proofpoint a repéré un nouveau chargeur de logiciels malveillants appelé Bumblebee utilisé par de nombreux cybercriminels utilisant BazaLoader et IcedID.
  • Plusieurs cybercriminels qui utilisent habituellement BazaLoader dans leurs campagnes de logiciels malveillants sont passés à Bumblebee. La propagation de Bumblebee coïncide avec la disparition de BazaLoader.
  • Bumblebee est en développement actif et manie des techniques d’évasion élaborées pour inclure une anti-virtualisation complexe.
  • Contrairement à la plupart des autres logiciels malveillants qui utilisent le creusement de processus ou l’injection de DLL, ce chargeur utilise une injection d’appel de procédure asynchrone (APC) pour lancer le shellcode à partir des commandes reçues du centre de commande et de contrôle (C2).
  • Proofpoint a observé que Bumblebee déposait Cobalt Strike, un shellcode, Sliver et Meterpreter.
  • Les cybercriminels qui utilisent Bumblebee sont associés à des charges utiles de logiciels malveillants qui ont été liées à des campagnes de ransomware de suivi.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.