มัลแวร์ ‘Bumblebee’ ได้หยุดการโจมตีไปสองเดือนและกลับมาโจมตีใหม่โดยใช้เทคนิคแบบใหม่ที่โจมตีผ่านบริการ 4shared WebDAV
WebDAV (Web Distributed Authoring and Versioning) เป็นส่วนขยายของโปรโตคอล HTTP ที่ช่วยให้ไคลเอ็นต์ดำเนินการ เช่น การสร้าง การเข้าถึง การอัปเดต และการลบเนื้อหาเว็บเซิร์ฟเวอร์ นักวิจัยของ Intel471 รายงานว่าแคมเปญล่าสุดของ Bumblebee ซึ่งเริ่มในวันที่ 7 กันยายน 2023 ใช้บริการ 4shared WebDAV เพื่อกระจายโหลดเดอร์ ด้วยการโจมตีแบบลูกโซ่ ดำเนินการหลายอย่างหลังติดเชื้อ
Spam emails
แคมเปญ Bumblebee ปัจจุบันอาศัย Malspam email ที่แสร้งทำเป็นสแกน ใบแจ้งหนี้ และการแจ้งเตือนเพื่อหลอกล่อให้ผู้รับดาวน์โหลดไฟล์แนบที่เป็นอันตราย ไฟล์แนบส่วนใหญ่เป็นไฟล์ ลิงค์ชอร์ทคัท (LNK) ของ Windows แต่ก็มีไฟล์ ZIP บางไฟล์ที่มีไฟล์ LNK ซึ่งอาจเป็นสัญญาณว่าตัว Bumblebee กำลังทดลองเพื่อพิจารณาว่าไฟล์ใดทำงานได้ดีที่สุด
ไฟล์แนบที่พบในแคมเปญ (Intel471)
การเปิดไฟล์ LNK จะเรียกใช้ชุดคำสั่งบนเครื่องของเหยื่อ โดยเริ่มจากคำสั่งติดตั้งโฟลเดอร์ WebDAV บนไดรฟ์เครือข่ายโดยใช้ข้อมูลประจำตัวแบบฮาร์ดโค้ดสำหรับบัญชีพื้นที่จัดเก็บข้อมูล 4shared
ในกรณีนี้ Intel471 ตรวจพบชุดคำสั่งหลายรูปแบบ ตั้งแต่การติดตั้งสำเนาไฟล์ การแตกไฟล์ และการดำเนินการไฟล์จากไดรฟ์ที่ติดตั้ง
เพย์โหลดที่เป็นอันตรายที่โฮสต์บน 4shared (Intel471)
รายงาน Intel471 พบว่าผู้คุกคามทดลองวิธีการต่างๆ ในการติดตั้งสำเนาไฟล์ แยก และดำเนินการไฟล์จากไดรฟ์ที่ติดตั้ง ระบุว่าพวกเขากำลังพยายามเพิ่มประสิทธิภาพการโจมตีเป็นลูกโซ่
มัลแวร์ Bumblebee ใหม่
นักวิเคราะห์ยังพบพบตัวโหลดมัลแวร์ Bumblebee เวอร์ชันอัปเดตที่ใช้ในแคมเปญนี้ ซึ่งได้เปลี่ยนจากการใช้โปรโตคอล WebSocket เป็น TCP สำหรับการสื่อสารคำสั่งและเซิร์ฟเวอร์ควบคุม (C2) นอกจากนี้ Bumblebee ยังมีการเปลี่ยนวิธีการส่งข้อมูลไปยัง C2 Server ใหม่จาก WebSocket เป็น TCP Protocol และหันมาใช้ Domain Generation Algorithm (DGA)
ก่อนหน้านี้ Bumblebee มีความเกี่ยวข้องกับการกระจายเพย์โหลดของแรนซัมแวร์ ซึ่งรวมถึง Conti และ Akira ดังนั้นการใช้ช่องทางการจัดจำหน่ายที่มีประสิทธิภาพและเข้าใจยากมากขึ้นจึงเป็นการพัฒนาที่น่ากังวล นอกจากนี้ การนำ DGA มาใช้ยังทำให้ยากขึ้นในการแมปโครงสร้างพื้นฐานของ Bumblebee บล็อกโดเมน และขัดขวางการดำเนินงานอย่างมีนัยสำคัญ เพิ่มความซับซ้อนเพิ่มเติมในการดำเนินการป้องกันกับตัวโหลดมัลแวร์
Palo Alto Networks
ผู้นำด้านระบบรักษาความปลอดภัยไซเบอร์ระดับโลก Palo Alto Networks คิดค้นเครื่องมือเพื่อก้าวนำภัยคุกคามไซเบอร์ ปกป้องวิถีชีวิตดิจิทัล ช่วยให้องค์กรต่างๆ สามารถใช้เทคโนโลยีได้อย่างวางใจ Palo Alto Networks มีระบบรักษาความปลอดภัยไซเบอร์แห่งอนาคตที่ได้รับการยอมรับจากลูกค้าหลายพันรายทั่วโลกในทุกกลุ่มธุรกิจ แพลตฟอร์มและบริการด้านระบบรักษาความปลอดภัยไซเบอร์อันดับหนึ่งของ Palo Alto Networks ได้รับความร่วมมือจากระบบความกรองด้านภัยคุกคามระดับแนวหน้าของวงการและเสริมปราการด้วยระบบอัตโนมัติที่ล้ำสมัยที่สุด Palo Alto Networks พร้อมช่วยดูแลให้แต่ละวันเป็นวันที่ปลอดภัยยิ่งขึ้น ไม่ว่าจะเป็นการติดตั้งใช้งานผลิตภัณฑ์ของเราเพื่อเดินหน้าสู่องค์กรแบบซีโรทรัสต์ การรับมือกับอุบัติการณ์ด้านความปลอดภัย หรือการร่วมมือเพื่อยกระดับการรักษาความปลอดภัยผ่านเครือข่ายพันธมิตรระดับโลก Palo Alto Networks จึงอยู่ในแนวหน้าในการปกป้ององค์กรนับหมื่นบนคลาวด์ เครือข่าย และอุปกรณ์มือถือ วิสัยทัศน์ของเราคือโลกที่ในแต่ละวันปลอดภัยยิ่งขึ้นกว่าเดิม
