One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8601156 |
| Date de publication | 2024-10-21 18:57:24 (vue: 2024-10-21 19:12:53) |
| Titre | Bumblebee malware returns after recent law enforcement disruption |
| Texte | ## Instantané Les chercheurs de la société de cybersécurité Nettskope ont observé une résurgence du chargeur de logiciels malveillants de Bumblebee, qui s'était silencieux à la suite de la perturbation par Europol \\ 's \' Operation Endgame \\ 'en mai. ## Description Bumblebee, attribué à [TrickBot] (https://sip.security.microsoft.com/intel-profiles/5a0aed1313768d50c9e800748108f51d3dfea6a4b48aa71b630cff897982f7c) https://sip.security.microsoft.COM / Intel-Explorer / Articles / 8AAA95D1) Backdoor, facilitant les acteurs de ransomwares \\ 'Accès aux réseaux.Le malware est généralement réparti par le phishing, le malvertising et l'empoisonnement SEO, promouvant des logiciels contrefaits comme Zooom, Cisco AnyConnect, Chatgpt et Citrix Workspace.Il est connu pour la livraison de charges utiles telles que [Cobalt Strike] (https: //sip.security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) Beacons, [standing 2575F9418D4B6723C17B8A1F507D20C2140A75D16D6) MALWARE et diverses souches de ransomware. La dernière chaîne d'attaque de Bumblebee commence par un phiShing Email qui trompe la victime pour télécharger une archive zip malveillante contenant un raccourci .lnk.Ce raccourci déclenche PowerShell pour télécharger un fichier .msi malveillant, se faisant passer pour une mise à jour légitime du pilote NVIDIA ou un programme d'installation de MidJourney, à partir d'un serveur distant.Le fichier .msi s'exécute silencieusement, en utilisant la table Self-Reg pour charger une DLL dans le processus msiexec.exe et déployer Bumblebee en mémoire.La charge utile dispose d'une DLL interne, de fonctions de noms de fonctions exportées et de mécanismes d'extraction de configuration cohérents avec les variantes précédentes. ## Analyse Microsoft et contexte OSINT supplémentaire L'acteur Microsoft suit [Storm-0249] (https://sip.security.microsoft.com/intel-profiles/75f82d0d2bf6af59682bbbbbbbb. et connu pour distribution de bazaloder, Gozi, emoTET, [IceDID] (https://sip.security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec4997a22d106f671ef84d35418ec2810faddb) et bumBlebee.Storm-0249 utilise généralement des e-mails de phishing pour distribuer leurs charges utiles de logiciels malveillants dans des attaques opportunistes.En mai 2022, Microsoft Threat Intelligence a observé que Storm-0249 s'éloigne de la précédente MALWLes familles de [Bumblebee] (https://security.microsoft.com/atheatanalytics3/048e866a-0a92-47b8-94ac-c47fe577cc33/analystreport?ocid=Magicti_TA_TA2) comme mécanisme initial de livraison de charge utile.Ils ont effectué des campagnes d'accès initiales basées sur des e-mails pour un transfert à d'autres acteurs, notamment pour les campagnes qui ont abouti au déploiement des ransomwares. Bumblebee Malware a fait plusieurs résurgences depuis sa découverte en 2022, adaptant et évoluant en réponse aux mesures de sécurité.Initialement observé en remplacement des logiciels malveillants bazarloader utilisés par les groupes cybercriminaux liés à TrickBot, Bumblebee a refait surface plusieurs fois avec des capacités améliorées et des stratégies d'attaque modifiées.Ces [résurgences] (https://sip.security.microsoft.com/intel-explorer/articles/ab2bde0b) coïncident souvent avec les changements dans l'écosystème de cybercriminalité, y compris le retrait de l'infrastructure de TrickBot \\ et de la puissance de conti ransomware de TrickBot \\ s et de la puissance de conti ransomware de TrickBot \\ s et de la puissance de contidrowware Contidownopérations. La capacité de Bumblebee \\ à réapparaître est due à son architecture modulaire flexible, permettant aux acteurs de menace de mettre à jour ses charges utiles et ses techniques d'évasion.Chaque résurgence a vu Bumblebee utilisé dans des campagnes de plus en plus sophistiquées, offrant fréquemment des ransomwares à fort impact comme BlackCat et Quantum.De plus, il a été lié à des tactiques d'évasion avancées |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### **© 0249 0a92 2021 2022 2024 2024** 2147076750&ocid=magicti 2147136033&ocid=magicti 2147143768&ocid=magicti 365 365/security/defender 365/security/office 47b8 94ac ability about abusing access accessed acquired active activity actor actors adapting additional additionally advanced after against age all allowing analysis antivirus any anyconnect appearances applications architecture archive are artifacts associated attachments attack attacker attackers attacks attributed audit auto avoid away based bazaloader bazarloader beacons been begins behind blackcat bleepingcomputer block breach broker bumblebee c47fe577cc33/analystreport campaigns can capabilities chain changes chatgpt check child cisco citrix click client cloud cobalt coincide com/en com/intel com/microsoft com/news/security/bumblebee com/threatanalytics3/048e866a company components computer configuration configure consistent containing content context conti copyright counterfeit cover coverage creating criterion culminated cybercrime cybercriminal cybercriminals cybersecurity deceives defender defner delete delivered delivering delivery deploy deployment description detect detected detection detections/hunting detects dev discovery disruption disruption/ distribute distributing distribution dll does download downloaded downloading driver due each ecosystem edr email emails emerged emotet ency encyclopedia endgame endpoint endpoint/attack endpoint/configure endpoint/edr endpoint/prevent enforcement enhanced ensure equivalent europol evasion even event ever evolving exe executable executes explorer/articles/8aaa95d1 explorer/articles/ab2bde0b exported extraction facilitating families features file files filtering first flexible following following frequently from functions gone gozi groups had handoff has have high hour https://learn https://security https://sip https://www icedid impact inbound including increasingly indicate information infrastructure initial initially installer intelligence internal its javascript known landscape latest launching law learndoc learndoc#block learning legitimate like linked links list lnk load loader machine made mail majority making malicious malvertising malware malware: masquerading may measures mechanism mechanisms meet memory microsoft midjourney mitigations mode modified modular msi msiexec multiple name=trojan:win32/bumblebee&threatid= name=trojan:win64/bumblebee&threatid= name=trojandownloader:vbs/bumblebee&threatid= naming need netskope networks new newly non not notably nvidia observed ocid=magicti office on operation operations opportunistic osint other part passive payload payloads performed permission persistence persistent phishing poisoning policies polymorphic post powershell preferred prevalence prevent previous process processes product profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6 profiles/5a0aed1313768d50c9e800748108f51d3dfea6a4b48aa71b630cff8979882f7c profiles/7ea37622d42c35d5f9cb9900575f82d0d2bf6af59682bb88aaacd46c68674675 profiles/ee69395aeeea2b2322d5941be0ec4997a22d106f671ef84d35418ec2810faddb profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc prohibited promoting protection protections purge quantum queries ransomware rapidly recent recheck recommendations recommends reduce reduction reemerge reference references remains remediate remote repeated replacement reproduction researchers reserved response resurfaced resurgence resurgences returns rights rules running run safe scenes scheme security security/safe security/why security/zero seen selfreg sent seo server services settings several shift shifts shortcut shutdown sight silent silently since site snapshot software sophisticated spam spoofed spread stealing stopping storm strains strategies strike subscription successor such surface ta2 table tactics takedown tamper techniques theirinitial thereof these threat threat: threats through times tool tools to tracks trickbot triggers trojan:win32/bumblebee trojan:win64/bumblebee trojandownloader:vbs/bumblebee trusted |
| Tags | Ransomware Spam Malware Tool Threat Legislation |
| Stories | ChatGPT |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.