De beruchte malware-lader en initiële toegangsmakelaar bekend als Hommel is na een afwezigheid van vier maanden weer opgedoken als onderdeel van een nieuwe phishing-campagne die in februari 2024 werd waargenomen.
Enterprise-beveiligingsbedrijf Proofpoint zei dat de activiteit zich richt op organisaties in de VS met voicemail-thema-lokmiddelen met links naar OneDrive-URL’s.
“De URL’s leidden naar een Word-bestand met namen als ‘ReleaseEvans#96.docm’ (de cijfers vóór de bestandsextensie varieerden)’, aldus het bedrijf in een rapport van dinsdag. “Het Word-document vervalste het consumentenelektronicabedrijf Humane.”
Bij het openen van het document worden VBA-macro’s gebruikt om een PowerShell-opdracht te starten om een ander PowerShell-script te downloaden en uit te voeren vanaf een externe server, die op zijn beurt de Bumblebee-lader ophaalt en uitvoert.
Bumblebee, voor het eerst gespot in maart 2022, is voornamelijk ontworpen om vervolgladingen zoals ransomware te downloaden en uit te voeren. Het is in gebruik genomen door meerdere crimeware-bedreigingsactoren die eerder BazaLoader (ook bekend als BazarLoader) en IcedID hebben waargenomen.
Er wordt ook vermoed dat het is ontwikkeld door bedreigingsactoren, het cybercriminaliteitssyndicaat Conti en TrickBot, als vervanging voor BazarLoader. In september 2023 maakte Intel 471 een Bumblebee-distributiecampagne bekend waarbij gebruik werd gemaakt van Web Distributed Authoring and Versioning (WebDAV)-servers om de lader te verspreiden.
De aanvalsketen valt op door zijn afhankelijkheid van documenten met macro’s in de aanvalsketen, vooral gezien het feit dat Microsoft vanaf juli 2022 standaard begon met het blokkeren van macro’s in Office-bestanden die van internet zijn gedownload, wat bedreigingsactoren ertoe aanzette hun aanpak aan te passen en te diversifiëren.
De terugkeer van Bumblebee valt ook samen met de terugkeer van nieuwe varianten van QakBot, ZLoader en PikaBot, waarbij voorbeelden van QakBot worden verspreid in de vorm van Microsoft Software Installer-bestanden (MSI).
“De .MSI dropt een Windows .cab (Cabinet)-archief, dat op zijn beurt een DLL bevat”, zei cyberbeveiligingsbedrijf Sophos op Mastodon. “De .MSI haalt de DLL uit de .cab en voert deze uit met behulp van shellcode. De shellcode zorgt ervoor dat de DLL een tweede kopie van zichzelf voortbrengt en de botcode in de geheugenruimte van de tweede instantie injecteert.”
Het is gebleken dat de nieuwste QakBot-artefacten de codering die wordt gebruikt om tekenreeksen en andere informatie te verbergen, versterken, waaronder het gebruik van een crypter-malware genaamd DaveCrypter, waardoor het moeilijker wordt om te analyseren. De nieuwe generatie herstelt ook de mogelijkheid om te detecteren of de malware in een virtuele machine of sandbox draaide.
Een andere cruciale wijziging omvat het versleutelen van alle communicatie tussen de malware en de command-and-control (C2)-server met behulp van AES-256, een sterkere methode dan werd gebruikt in versies voorafgaand aan de ontmanteling van de QakBot-infrastructuur eind augustus 2023.
“De verwijdering van de QakBot-botnetinfrastructuur was een overwinning, maar de makers van de bot blijven vrij, en iemand die toegang heeft tot de originele broncode van QakBot heeft geëxperimenteerd met nieuwe builds en de wateren getest met deze nieuwste varianten”, zegt Andrew Brandt, hoofdonderzoeker. bij Sophos X-Ops, zei.
“Een van de meest opvallende veranderingen betreft een wijziging in het encryptie-algoritme dat de bot gebruikt om standaardconfiguraties die hardgecodeerd in de bot zijn vastgelegd te verbergen, waardoor het voor analisten moeilijker wordt om te zien hoe de malware werkt; de aanvallers herstellen ook eerder verouderde functies, zoals bewustzijn van virtuele machines (VM’s) en het testen ervan in deze nieuwe versies.”
QakBot is ook naar voren gekomen als de op één na meest voorkomende malware voor januari 2024, na FakeUpdates (ook bekend als SocGholish), maar vóór andere families zoals Formbook, Nanocore, AsyncRAT, Remcos RAT en Agent Tesla.
De ontwikkeling komt op het moment dat Malwarebytes een nieuwe campagne onthulde waarin phishing-sites die financiële instellingen als Barclays nabootsen potentiële doelwitten misleiden om legitieme externe desktopsoftware zoals AnyDesk te downloaden om zogenaamd niet-bestaande problemen op te lossen en uiteindelijk bedreigingsactoren de controle over de machine te laten krijgen.
