Analyse von Proofpoint

Neuer Malware-Loader „Bumblebee“ fliegt um

Der neue Downloader Bumblebee verbreitet sich mit Hilfe von besonders ausgeklügelten Phishing-Kampagnen. Die Analysten von Proofpoint haben den Trojaner genauer unter die Lupe genommen.
Von 
CSO | 02. Mai 2022 13:15 Uhr
Malware-Downloader wie Bumblebee haben das Ziel zusätzliche Schadsoftware auf kompromittierte Computer herunterzuladen und auszuführen, ohne dabei entdeckt zu werden.
Malware-Downloader wie Bumblebee haben das Ziel zusätzliche Schadsoftware auf kompromittierte Computer herunterzuladen und auszuführen, ohne dabei entdeckt zu werden.
Foto: an_nature_photography - shutterstock.com

Mehrere Ransomware-Access-Broker, also Cyberkriminelle, die sich darauf spezialisiert haben, in Systeme einzudringen und den Zugang an den Meistbietenden zu verkaufen, setzen auf einen neuen Malware-Downloader namens Bumblebee. Zuvor verwendeten die Gruppen Downloader wie BazaLoader und IcedID.

Laut den Forschern des Sicherheitsunternehmens Proofpoint begannen die E-Mail-basierten Bumblebee-Verteilungskampagnen im März und werden mit mindestens drei bekannten Angriffsgruppen in Verbindung gebracht. Sie verwenden die Malware, um bekannte Penetrationstest-Tools wie Cobalt Strike, Sliver und Meterpreter in den Netzen ihrer Opfer zu installieren.

"Bumblebee ist ein ausgeklügelter Downloader, der Anti-Virtualisierungs-Checks und eine einzigartige Implementierung gängiger Downloader-Funktionen enthält, obwohl er sich noch in einem sehr frühen Stadium der Malware-Entwicklung befindet", schreiben die Forscher von Proofpoint in ihrem Bericht. Die zunehmende Verbreitung von Bumblebee falle zusammen mit dem Verschwinden des Downloaders BazaLoader aus den Bedrohungsdaten von Proofpoint.

Lesetipp: Pipedream Malware – Kritische Infrastrukturen im APT-Visier

Wie wird Bumblebee verbreitet?

Proofpoint beobachtete im März 2022 eine Phishing-Kampagne unter dem Label des eSignature-Anbieters DocuSign. Die E-Mails sollten die Empfänger zum Download einer bösartigen ISO-Datei verleiten. Klickte der Empfänger auf den Hyperlink "Review the Document" in der E-Mail, wurde dadurch eine gezippte ISO-Datei heruntergeladen, die auf OneDrive gehostet wird.

So sehen die Phishing-Mails aus, über die Bumblebee verbreitet wurde.
So sehen die Phishing-Mails aus, über die Bumblebee verbreitet wurde.
Foto: Proofpoint

Alternativ enthielten die E-Mails auch einen HTML-Anhang. Das Erscheinungsbild der geöffneten HTML-Datei sah aus wie eine E-Mail, die einen Link zu einer unbezahlten Rechnung enthält. Die eingebettete URL im HTML-Anhang verwendete einen Umleitungsdienst, der den Benutzer zu der ISO-Datei weiterleitete, die wiederum Dateien mit Bumblebee ausführte.

Die Forscher von Proofpoint schreiben diese Kampagne der Hackergruppe TA579 zu. Seit August 2021 verfolgt Proofpoint die Gruppe, da sie in früheren Kampagnen häufig BazaLoader und IcedID verbreiteten.

In einer weiteren Hacking-Kampagne im April nutzten andere Akteure Thread Hijacking. Dies ist eine Technik, bei der Phishing-Nachrichten wie Antworten auf bestehende Konversationen aussehen. In den Fällen, die Proofpoint beobachtete, enthielten die Phishing-Mails einen Rechnungsanhang im ZIP-Format als Köder. Die Datei war passwortgeschützt, das Passwort wurde jedoch in derselben E-Mail angegeben. Öffnete der Empfänger die Datei, führte eine Datei namens "Document.Link" eine als "tar.dll" gespeicherte Kopie von Bumblebee aus.

Lesetipp: Sicherheitsexperten entdecken neue Emotet-Angriffe

Wie funktioniert Bumblebee?

Malware-Loader wie Bumblebee sind kleine bösartige Programme, deren Ziel es ist, zusätzliche Programme oder Skripte auf kompromittierte Computer herunterzuladen und auszuführen, ohne entdeckt zu werden. Um dies zu erreichen, verwenden sie verschiedene Techniken, um diese Nutzlasten in bestehende legitime Prozesse einzuschleusen oder an diese anzuhängen. Außerdem sammeln sie Systeminformationen über den kompromittierten Computer, die später dazu verwendet werden können, den Ziel-Computer im Befehls- und Kontrollzentrum der Angreifer eindeutig zu identifizieren.

Laut der Analyse von Proofpoint verwendet Bumblebee nach der Ausführung das WMI-Framework (Windows Management Instrumentation), um Systeminformationen abzufragen und eine eindeutige ID für den infizierten Computer zu erstellen. Anschließend kontaktiert der Downloader einen Command-and-Control-Server alle 25 Sekunden und sucht nach Befehlen, die er ausführen soll. Da die Angreifer diese Befehle offenbar manuell eingeben, kann es nach der ersten Infektion Stunden dauern, bis Bumblebee die nächsten Schritte unternimmt.

So gefährlich ist Bumblebee

Aus den Fällen, die Proofpoint im Laufe seiner Analysen gesammelt hat, zeigt sich, dass der Loader aktiv weiterentwickelt wird und immer wieder neue Funktionen bekommt. Ein Beispiel sind neue Anti-VM- und Anti-Sandbox-Routinen, die verhindern sollen, dass die Malware in virtualisierten Umgebungen ausgeführt wird. Der Loader verfügt nach einem Update über eine Liste von gängigen Tools, die Malware-Analysten einsetzen, und überprüft, ob diese auf dem Zielsystem ausgeführt werden.

Des Weiteren können Angreifer mit Bumblebee nun mehrere Command-and-Control-Server angeben. Ferner ist die Kommunikation mittlerweile verschlüsselt und die Abfragezeit wurde von 25 Sekunden auf zufällige Intervalle geändert. All diese Änderungen sollen die Aktivitäten der Malware unauffälliger und schwieriger zu erkennen machen.

Proofpoint geht davon aus, dass Bumblebee entweder direkt als Ersatz für BazaLoader genutzt werden wird, oder ein neues multifunktionales Tool für Angreifer ist, die in der Vergangenheit andere Malware bevorzugt haben.

Neben Technologien, die vor Malware schützen, empfiehlt es sich für Unternehmen, ihre Mitarbeiter für Cybergefahren zu sensibilisieren. Eine Möglichkeit sind eigene Phishing-Kampagnen, um das Wissen und die Vorsicht der Mitarbeiter zu prüfen. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.