Hackers usan Bumblebee Loader para comprometer los servicios de Active Directory

El cargador de malware conocido como Bumblebee está siendo cooptado cada vez más por hackers asociados con BazarLoader, TrickBot e IceID en sus campañas para violar redes objetivo para actividades posteriores a la explotación.

«Los operadores de Bumblebee realizan actividades de reconocimiento intensivo y redirigen la salida de los comandos ejecutados a archivos para su exfiltración», dijeron los investigadores de Cybereason, Mereoujan Antonyan y Alon Laufer.

Bumblebee salió a la luz por primera vez en marzo de 2022 cuando el Grupo de Análisis de Amenazas (TAG) de Google desenmascaró las actividades de un corredor de acceso inicial denominado Exotic Lily, con vínculos con TrickBot y los colectivos más grandes de Conti.

Generalmente entregado por medio del acceso inicial adquirido por medio de campañas de spear-phishing, el modus operandi se modificó desde entonces al evitar documentos con macros en favor de archivos ISO y LNK, principalmente en respuesta a la decisión de Microsoft de bloquear las macros de forma predeterminada.

«La distribución del malware se realiza mediante correos electrónicos de phishing con un archivo adjunto o un enlace a un archivo malicioso que contiene Bumblebee. La ejecución inicial se basa en la ejecución del usuario final que tiene que extraer el archivo, montar un archivo de imagen ISO y hacer clic en un archivo de acceso directo de Windows (LNK)», dijeron los investigadores.

El archivo LNK, por su parte, contiene el comando para iniciar el cargador Bumblebee, que después se utiliza como conducto para las acciones de la siguiente etapa, como la persistencia, la escalada de privilegios, el reconocimiento y el robo de credenciales.

Durante el ataque cibernético también se empleó el marco de simulación de adversarios Cobalt Strike al obtener privilegios elevados en los puntos finales infectados, lo que permite que el atacante se mueva lateralmente por medio de la red. La persistencia se logra implementando el software de escritorio remoto AnyDesk.

En el incidente analizado por Cybereason, las credenciales robadas de un usuario con muchos privilegios se usaron posteriormente para tomar el control de Active Directory, sin mencionar la creación de una cuenta de usuario local para la exfiltración de datos.

«El tiempo que pasó entre el acceso inicial y el compromiso de Active Directory fue menos de dos días. Los ataques que involucran a Bumblebee deben tratarse como críticos y este cargador es conocido por la entrega de ransomware», dijo la compañía de ciberseguridad.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *