Författare

SOC @ Asurgent

Read time

2 min

14 februari 2024

Asurgent cybersäkerhetsblogg: Röstmeddelande-phishing med Bumblebee

Cybersäkerhet är en ständigt pågående kamp, och det senaste hotet som återigen dyker upp på scenen är Bumblebee-malwaren. Efter en fyra månaders frånvaro har Bumblebee nu återvänt, riktad mot tusentals organisationer i USA genom phishing-kampanjer. Kan detta hot riktas till svenska organisationer och företag? 

michael-milverton-FpFkjVDALnI-unsplash

Bumblebee distribueras vanligtvis genom phishing-e-postmeddelanden, som ofta förfalskas för att likna legitima meddelanden från kända företag eller organisationer. I ett nyligen upptäckt fall försöker Bumblebee-malwaren lura mottagare att tro att de har ett viktigt röstmeddelande att lyssna på. Med en ämnesrad som lyder "Röstmeddelande Februari" och en avsändare som ser ut att vara "info@quarlessa[.]com", verkar dessa e-postmeddelanden initialt trovärdiga.

Inuti meddelandet finns oftast en länk till en OneDrive-URL eller en bilaga som innehåller en skadlig Word-dokumentfil. Om offret klickar på länken eller öppnar filen aktiveras en serie händelser som leder till installationen av Bumblebee-malwaren på offrets enhet.

I den skadliga Word-dokumentfilen innehåller vanligtvis VBA-makron som används för att utföra skadlig kod när dokumentet öppnas. Genom att utnyttja sårbarheter i Microsoft Office-program kan dessa makron starta en kedja av kommandon som leder till att Bumblebee-malwaren installeras på offrets system.

Hur användes den tidigare?

Tidigare Bumblebee-kampanjer använde metoder som direkt DLL-nedladdning, HTML-smuggling och utnyttjande av sårbarheter som CVE-2023-38831 för att leverera den slutliga belastningen, så den nuvarande attackkedjan representerar en betydande avvikelse från modernare tekniker.

Att använda sig av VBA-makron i dokument är anmärkningsvärd och ovanlig eftersom Microsofts beslut att blockera makron som standard 2022, vilket gör det svårare för kampanjen att uppnå mycket framgång.Detta beslut gjordes för att öka säkerheten och minska risken för skadlig kodspridning via makron i Office-dokument.För att komma runt denna säkerhetsåtgärd använder Bumblebee-malwaren olika metoder och social manipulation.

Dessutom kan Bumblebee-malwaren dra nytta av sårbarheter eller svagheter i äldre versioner av Microsoft Office eller operativsystem som inte har installerat de senaste säkerhetsuppdateringarna.

Ett typiskt scenario ser ut så här:
  • Först öppnas den skadliga Word-dokumentet som hämtats från e-postmeddelandet.
  • Sedan  aktiveras VBA-makronen och börjar utföra sin skadliga kod. En del av denna kod kan vara att starta en PowerShell-session.
  • När VBA-makronen aktiveras genereras en skriptfil i Windows temp-mappen på offrets enhet. Detta skriptfil används sedan för att ladda ner ytterligare skadlig kod från en fjärrserver. PowerShell används ofta för att skapa och utföra detta skript, eftersom PowerShell är ett kraftfullt verktyg för att automatisera uppgifter och utföra komplexa kommandon.
  • PowerShell-skriptet hämtar ytterligare skadlig kod från en fjärrserver och exekverar den på offrets system. Den nedladdade koden kan innehålla Bumblebee-malwaren eller andra komponenter som behövs för att fullborda installationen och starta malwaren. Den skadliga koden har hämtats och exekverats, Bumblebee-malwaren på offrets system.

Återkomsten av Bumblebee sedan oktober kan ha betydande effekter för övriga världen om den får fäste i USA, därför är det bättre att vara förberedd på det nya hotet. Genom att vara proaktiva och uppmärksamma på potentiella hot kan vi minimera risken för att drabbas av skadliga cyberattacker!

Proofpoint

Bleepingcomputer

Bleepingcomputer-okt-23

 

Security
Säkerhet

Asurgent cybersäkerhetsblogg: Kinesiska Cyberkriminella Ecosystemett Del 1 av 3 – Bakgrund

Läs mer
Security
Säkerhet

Asurgents cybersäkerhetsblogg: Rysk hackergrupp inriktad på överbelastningsattacker

Läs mer
Security
Säkerhet

Asurgent cybersäkerhetsblogg: Nationer använder AI som vapen i cyberattacker.

Läs mer
Security
Säkerhet

Akira och RaaS (Ransomware as a Service)

Läs mer

Ta del av de senaste insikterna och nyheterna

Prenumerera på vårt nyhetsbrev för att ha koll på senaste nytt inom cybersäkerhetssfären. 

Prenumerera på vår cybersäkerhetsnyheter

Samtycke(Obligatoriskt)

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Asurgent AB, orgnr. 559062-5538 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.
Bekräfta val Acceptera alla