Nach Operation Endgame: Bumblebee-Malware erneut im Umlauf​

Vier Monate nach dem großangelegten Takedown diverser Botnetze durch die Behörden wird die Bumblebee-Malware offenbar wieder in Angriffen verwendet.​

In Pocket speichern vorlesen Druckansicht
Alarmdreieck auf Bidlschirmanzeige mit abstrakten leuchtenden Codezeilen

Die Bumblebee-Malware war nach der Operation Endgame vorerst von der Bildfläche verschwunden. Jetzt ist sie wieder aufgetaucht.

(Bild: solarseven/Shutterstock.com)

Lesezeit: 3 Min.
Von
  • Kathrin Stoll

Nachdem Botnetze der Bumblebee-Malware nach einer großangelegten gemeinsamen Operation von Sicherheitsbehörden mehrerer Länder im Mai vorerst vom Netz genommen worden waren und die Malware vorerst von der Bildfläche verschwunden war, ist sie jetzt offenbar wieder aufgetaucht. Das berichten Sicherheitsforscher der Firma Netskope.

Die von Netskope entdeckte Bumblebee-Infektion beginnt mutmaßlich mit einer Phishing-E-Mail, die eine ZIP-Datei mit einer LNK-Datei namens "Report-41952.lnk" enthält. Sobald sie ausgeführt wird, startet sie die Angriffskette und lädt den Schadcode direkt aus dem Netz in den Speicher. In den von den Forschern analysierten Beispielen war diese als Installationsprogramm von Midjourney oder Nvidia getarnt. Weil sie die Erstellung neuer Prozesse vermeidet, ist diese neue Version der Malware laut der Forscher noch unauffälliger als zuvor. Die Forscher haben eine Liste mit sogenannten Indicators of Compromise (IoC) auf GitHub veröffentlicht, anhand der sich überprüfen lässt, ob eigene Systeme befallen wurden.

Die nach dem sympathischen Insekt benannte Malware war im März 2022 erstmals von Googles Threat Analysis Group (TAG) gesichtet worden, sie nutzte den Namen "Bumblebee" als Teil des User-Agents im Referrer. Damals stellten IT-Sicherheitsexperten erstmals fest, dass Cyberkriminelle, die vormals vornehmlich eine andere Malware namens BazarLoader oder alternativ IcedID nutzten, vielfach auf den Bumblebee-Loader umgestiegen waren. Derartige Malware wird auch Dropper genannt. Dabei handelt es sich um ein Paket mit einem Virus, der ein System befällt, um dann weitere Schadsoftware nachzuladen. Der Dropper dient dabei quasi als Träger für das Virus. Es wird davon ausgegangen, dass der Bumblebee-Loader von der Trickbot-Ransomware-Gruppe entwickelt wurde, um bei Ransomware-Angriffen initialen Zugriff auf die Infrastruktur ihrer Opfer zu erlangen.

Im Jahr 2023 kam die Bumblebee-Malware dann in Malvertising-Kampagnen zum Einsatz. Die Angreifer haben damit trojanisierte Installationsprogramme fĂĽr professionelle Software angeboten. Diese Malware-Pakete haben sie mittels SEO-Poisoning und Malvertising auf Suchmaschinen platziert.

Der Bumblebee-Loader befällt angegriffene Systeme auch auf anderen Wegen, etwa weil arglose Nutzer sogenannte LNK-Dateien ausführen, die die Malware über eine Systembinärdatei laden. An die Opfer verteilt werden die LNK-Dateien meist mittels Phishingmails, die wahlweise einen Link zu einem Archiv enthalten, das die Malware enthält oder einen entsprechenden Mail-Anhang. Zwischen Befall eines Systems in einer Active Directory-Umgebung und dessen Kompromittierung können laut einer früheren Analyse der Experten der Firma Cyberreason weniger als zwei Tage liegen.

(kst)