Desde marzo del presente año, los investigadores de Proofpoint vienen detectando un nuevo loader de malware. Bumblebee, que toma su nombre del user-agent empleado en sus inicios, es usado por losmismos actores maliciosos que previamente usaban BazarLoader o IcedID.
El inicio del desarrollo de Bumblebee parece coincidir con la identificación de la infraestructura de BazarLoader. Dicha identificación se produjo a consecuencia de los leaks de Conti a principios de año. Aunque el grupo parece tener relación con este nuevo loader, éste se usa principalmente cómo punto de acceso inicial a los sistemas objetivo.
Funcionamiento de Bumblebee
Bumblebee está escrito en C++, antes de inicializarse implementa tests para verificar que no existen herramientas de análisis que estén monitorizando librerías clave del sistema. Cuenta con técnicas de evasión avanzadas y anti virtualización.
A diferencia de otros loaders, en este caso la mayor parte de la funcionalidad se condensa en unasola función. Inicialmente el malware copia la ID de grupo que lo identificará en la botnet. A continuación el loader resuelve la dirección de varias funciones de sistema que le permitirán realizar la inyecciónmás adelante.
Una vez recopilada toda la información necesaria, empieza el proceso de comunicación con el C2. A diferencia de otros malware más automatizados, el despliegue de instrucciones parece realizarse de forma manual. Bumblebee se comunica con el C2 cada 25 segundos para verificar si existen nuevos comandos. Se han observado instancias en las que pasan horas hasta que recibe el primero.
Los comandos que soporta actualmente son:
- Shi, para la inyección de shellcode.
- Dij, para inyectar DLLs en la memoria de otros procesos.
- Dex, descarga y ejecución de ejecutables.
- Sdl, desinstalación del loader.
- Ins, consigue la persistencia copiando la DLL del loader en el sistema y creando una tarea para su instalación.
Estos comandos pueden ir variando, el equipo de Proofpoint ha verificado que al código de Bumblebee se está añadiendo nuevas funcionalidades, cómo más capas de tests anti virtualización y que detectan si el malware se está ejecutando en una sandbox.
Indicadores de compromiso (IOC):
c6ef53740f2011825dd531fc65d6eba92f87d0ed1b30207a9694c0218c10d6e0
a72538ba00dc95190d6919756ffce74f0b3cf60db387c6c9281a0dc892ded802
77f6cdf03ba70367c93ac194604175e2bd1239a29bc66da50b5754b7adbe8ae4
0faa970001791cb0013416177cefebb25fbff543859bd81536a3096ee8e79127
Fe7a64dad14fe240aa026e57615fc3a22a7f5ba1dd55d675b1d2072f6262a1
08CD6983F183EF65EABD073C01F137A913282504E2502AC34A1BE3E599AC386B