Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BumbleBee : nouvelle porte d’accès des cybercriminels aux réseaux d’entreprise et à leurs données

mai 2022 par Proofpoint

Depuis mars 2022, les chercheurs de Proofpoint observent un nouveau chargeur de malwares nommé Bumblebee.

L’objectif de Bumblebee est d’installer une « backdoor » qui permet aux cybercriminels d’accéder plus tard au système et d’y installer des ransomwares. Bumblebee n’installe pas de malware, il offre l’accès du système aux cybercriminels. Le groupe Conti a notamment utilisé Bumblebee pour installer des ransomwares dans ses dernières campagnes.

Les chercheurs de Proofpoint ont remarqué que l’arrivée de Bumblebee coïncide avec la disparition de BazaLoader, un autre chargeur de malwares. Cela peut s’expliquer par la plus grande efficacité ainsi que la discrétion de Bumblebee.

Les chercheurs de Proofpoint ont observé que Bumblebee déposait Cobalt Strike, un shellcode, Sliver et Meterpreter. Le nom du malware provient de l’agent utilisateur unique "Bumblebee" utilisé dans les premières campagnes. Le groupe TA579 serait derrière ce chargeur de malwares.

Les principales conclusions sont les suivantes :

• Proofpoint a repéré un nouveau chargeur de logiciels malveillants appelé Bumblebee utilisé par de nombreux cybercriminels utilisant BazaLoader et IcedID.
• Plusieurs cybercriminels qui utilisent habituellement BazaLoader dans leurs campagnes de logiciels malveillants sont passés à Bumblebee. La propagation de Bumblebee coïncide avec la disparition de BazaLoader.
• Bumblebee est en développement actif et manie des techniques d’évasion élaborées pour inclure une anti-virtualisation complexe.
• Contrairement à la plupart des autres logiciels malveillants qui utilisent le creusement de processus ou l’injection de DLL, ce chargeur utilise une injection d’appel de procédure asynchrone (APC) pour lancer le shellcode à partir des commandes reçues du centre de commande et de contrôle (C2).
• Proofpoint a observé que Bumblebee déposait Cobalt Strike, un shellcode, Sliver et Meterpreter.
• Les cybercriminels qui utilisent Bumblebee sont associés à des charges utiles de logiciels malveillants qui ont été liées à des campagnes de ransomware de suivi.


Voir les articles précédents

    

Voir les articles suivants