Du musst Regestriert sein, um das angehängte Bild zusehen.
Vier Monate nachdem Sicherheitsbehörden eine koordinierte Aktion zur Bekämpfung verschiedener Botnetze, darunter die Bumblebee-Malware, durchgeführt haben, taucht die bösartige Software erneut in Angriffen auf.Trotz des vorübergehenden Verschwindens der Bumblebee-Malware nach der Abschaltung der Botnetze durch die gemeinsame Operation im Mai, ist sie nun wieder aufgetaucht, wie Sicherheitsforscher von Netskope berichten.
Neue Angriffsmethode aufgedeckt
Die von Netskope entdeckte Bumblebee-Infektion beginnt vermutlich mit einer Phishing-E-Mail, die eine ZIP-Datei mit einer LNK-Datei namens "Report-41952.lnk" enthält.Sobald diese Datei ausgeführt wird, startet die Angriffskette und lädt den Schadcode direkt aus dem Netz in den Speicher.
In den analysierten Beispielen tarnte sich die Malware als Installationsprogramm von Midjourney oder Nvidia.
Die Forscher betonen, dass diese neue Version der Malware noch unauffälliger agiert, da sie die Erstellung neuer Prozesse vermeidet.
Die Sicherheitsforscher haben eine Liste von sogenannten Indicators of Compromise (IoC) auf GitHub veröffentlicht, anhand derer überprüft werden kann, ob eigene Systeme von der Bumblebee-Malware betroffen sind.
Die Bumblebee-Malware wurde erstmals im März 2022 von Googles Threat Analysis Group (TAG) entdeckt und ist seitdem in verschiedenen Angriffsszenarien im Einsatz.
Unter anderem wird vermutet, dass die Trickbot-Ransomware-Gruppe den Bumblebee-Loader entwickelt hat, um bei Ransomware-Angriffen den initialen Zugriff auf die Infrastruktur der Opfer zu ermöglichen.
In 2023 wurde die Bumblebee-Malware in Malvertising-Kampagnen eingesetzt, bei denen trojanisierte Installationsprogramme für professionelle Software angeboten wurden.
Die Angreifer nutzten dabei SEO-Poisoning und Malvertising, um die Malware zu verbreiten.
Die Bumblebee-Loader-Malware kann auf verschiedene Weisen in Systeme eindringen, unter anderem durch das Ausführen von LNK-Dateien.
Diese werden oft über Phishingmails verteilt, die entweder einen Link zu einem Archiv mit der Malware enthalten oder einen entsprechenden Anhang.
Laut früheren Analysen vergehen weniger als zwei Tage zwischen dem Befall eines Systems und dessen Kompromittierung in einer Active Directory-Umgebung.