بازگشت بدافزار Bumblebee در حملات جدید با سوء استفاده از ابزارWebDAV

انتشار بدافزار 'Bumblebee' پس از دو ماه تعطیلی، با یک کمپین جدید آغاز شده است که از تکنیک‌های توزیع جدیدی استفاده می‌کند که از خدمات 4shared WebDAV سوءاستفاده می‌کند.
WebDAV (Web Distributed Authoring and Versioning) یک توسعه از پروتکل HTTP است که به کلاینت‌ها امکان انجام عملیات نویسندگی از راه دور مانند ایجاد، دسترسی، به‌روزرسانی و حذف محتوای سرور وب را می‌دهد.
محققان گزارش می‌دهند که کمپین جدید Bumblebee که از اواسط سپتامبر 2023 آغاز شده است، از خدمات 4shared WebDAV برای توزیع بارگذاری، اجرای زنجیره حمله و انجام چندین عملیات پس از آلودگی بهره می‌برد.
سوءاستفاده از پلتفرم 4shared که یک سرویس معتبر و شناخته‌شده ارائه دهنده خدمات میزبانی فایل، به اپراتورهای Bumblebee کمک می‌کند تا از لیست‌های مسدودکننده فرار کنند و از تجهیزات زیرساختی سوء استفاده کنند.
استفاده از پروتکل WebDAV به هکرها چندین راه برای دور زدن سیستم‌های تشخیص رفتاری و از مزیت توزیع بهینه، تغییر آسان بار و غیره را امکان پذیر می‌کند.
استفاده از ایمیل‌های اسپم:
کمپین فعلی Bumblebee بر اساس ایمیل‌های اسپم کار می‌کند که تظاهر به اسکن، صورتحساب و اعلامیه‌ها می‌کنند تا گیرندگان را به دانلود پیوست‌های مخرب مجبور کنند.
بیشتر پیوست‌ها فایل‌های میانبر LNK ویندوز هستند، اما برخی فایل‌های ZIP حاوی فایل‌های LNK نیز وجود دارند. باز کردن فایل LNK دستوراتی را روی ماشین قربانی اجرا می‌کند، شامل یک دستور برای متصل کردن یک پوشه WebDAV به یک درایو شبکه با استفاده از اطلاعات ورود ثابت برای یک حساب ذخیره‌سازی 4shared.
 

شکل 1. فایل‌های ضمیمه مشاهده شده در کمپین

4Shared یک وب‌سایت اشتراک گذاری فایل است که به کاربران اجازه می‌دهد فایل‌ها را در ابر ذخیره کرده و به آن‌ها از طریق WebDAV، FTP و SFTP دسترسی داشته باشند. این سرویس قبلاً در گزارش بازارهای بدنام دولت آمریکا در سال 2016 برای میزبانی محتوای حق تکثیر درج شده بود.
 

شکل 2. برنامه‌های مخرب میزبانی شده در 4shared

تحلیل‌گران همچنین نسخه به‌روز شده از بارگذاری بدافزار Bumblebee را کشف کرده‌اند که در این کمپین استفاده می‌شود و از پروتکل WebSocket به TCP برای ارتباط با سرور کنترل و کنترل (C2) استفاده می‌کند.
به‌علاوه، بارگذاری جدید از استفاده از آدرس‌های C2 به صورت ثابت منصرف شده است. اکنون از الگوریتم تولید دامنه (DGA) برای تولید 100 دامنه در فضای دامنه سطح بالا ".life" هنگام اجرا استفاده می‌کند.
دامنه‌ها با استفاده از مقدار بذر ثابت 64 بیتی تولید می‌شوند و Bumblebee با تکرار لیست ایجاد شده از طریق آن‌ها متصل می‌شود تا یکی را پیدا کند که به یک آدرس IP سرور C2 فعال ترجمه می‌شود.
قبلاً Bumblebee با توزیع بار محتوای رمزنگاری شده ارتباط داشته و با توزیع ویژگی‌هایی نظیر Conti و Akira ارتباط داشته است، بنابراین انتخاب یک کانال توزیع کارآمدتر و مخفیانه نگران‌کننده است.
همچنین، استفاده از DGA سخت‌تر می‌کند تا زیرساخت‌های Bumblebee نقشه برداری شود، دامنه‌های آن مسدود شوند و به طور قابل توجهی عملیات آن را مختل کند، که پیچیدگی اضافی در پیاده‌سازی اقدامات پیشگیری در مقابل بارگذاری بدافزار اضافه می‌کند.

توصیه های امنیتی
1.  آموزش کارکنان: افرادی که با ایمیل‌ها و پیوست‌ها سروکار دارند، باید به طور منظم آموزش داده شوند تا اسپم ایمیل‌ها و پیام‌های مشکوک را تشخیص دهند و از دانلود فایل‌های ناشناخته خودداری کنند.
2.  به‌روزرسانی سیستم: مطمئن شوید که سیستم‌عامل و نرم‌افزارهای شما به‌روز هستند و تمامی به‌روزرسانی‌های امنیتی نصب شده‌اند.
3.  استفاده از یک راهکار امنیتی: از راهکارهای امنیتی نظیر آنتی‌ویروس استفاده کنید و آن‌ها را به‌روز نگه دارید.
4.  فیلترهای ایمیل: از فیلترهای ایمیل برای تشخیص و مسدود کردن ایمیل‌های اسپم و مشکوک استفاده کنید.
5.  به‌روزرسانی مرورگر: مرورگرهای وب خود را به‌روز کنید و از افزونه‌ها یا پلاگین‌های امنیتی استفاده کنید.
6.  استفاده از فایروال: یک فایروال سخت‌افزاری یا نرم‌افزاری را برای محافظت از شبکه خود در برابر تهدیدهای خارجی اجرا کنید.
7.  پشتیبان‌گیری منظم: اطلاعات مهم خود را به طور منظم پشتیبان‌گیری کنید تا در صورت حمله بدافزار، بتوانید به اطلاعات خود دسترسی داشته باشید.
8.  بررسی لینک‌ها و پیوست‌ها: هنگام دریافت ایمیل‌ها، لینک‌ها و پیوست‌ها را با دقت بررسی کنید و اگر مشکوک به نظر می‌آیند، از دانلود آن‌ها خودداری کنید.

منبع خبر:

https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-web…