BumbleBee Webshell

La minacciosa campagna xHunt non solo è ancora in corso, ma i ricercatori di infosec stanno rilevando nuovi strumenti malware implementati dagli hacker. L'ultima scoperta dagli esperti di Palo Alto Networks si chiama BumbleBee Webshell. Gli aggressori hanno utilizzato questo particolare strumento come parte della compromissione di un server Microsoft Exchange appartenente a un'organizzazione kuwaitiana. Inoltre, la BubleBee Webshell è stata rilevata anche all'interno dei server IIS (Internet Information Services) interni di due diverse organizzazioni kuwaitiane, oltre a quella proprietaria del server Exchange compromesso.

Per contattare BumbleBee Webshell sui server aperti a Internet, gli hacker hanno utilizzato VPN (reti private virtuali) fornite dall'accesso Internet privato. Grazie a questo metodo, gli aggressori sono stati in grado di modificare il proprio indirizzo IP, facendo sembrare che la connessione provenisse da vari paesi diversi, tra cui Svezia, Belgio, Germania, Italia, Irlanda, Paesi Bassi, Portogallo, Lussemburgo, Polonia e Regno Unito. Allo stesso tempo, i criminali informatici sono passati tra diversi sistemi operativi - Windows 10, Windows 8.1 e Linux e diversi browser Web - Mozilla Firefox e Google Chrome. L'obiettivo è ostacolare qualsiasi tentativo di rilevamento e rendere l'analisi molto più difficile.

BumbleBee Webshell è un malware minaccioso

Per accedere a BumbleBee Webshell sui server Web IIS interni, che non sono accessibili direttamente da Internet, l'attore della minaccia ha stabilito dei tunnel SSH. Le prove suggeriscono che attraverso lo strumento PuTTY Link (Plink), gli hacker hanno creato tunnel SSH che fungevano da connessione ai servizi interni della rete compromessa.

Per distribuire completamente BumbleBee Webshell e avviare la sua funzionalità, è necessario fornire due password. Il primo è necessario per visualizzare semplicemente la webshell, mentre il secondo è necessario per interagire con esso. BumbleBee ha riconosciuto tre comandi in totale, ma sono più che sufficienti per condurre una serie di operazioni minacciose:

• Esegui comandi arbitrari tramite cmd / c
• Carica i file in una cartella specifica sul server dell'aggressore
• Scarica file aggiuntivi dal server

L'analisi dell'attività sui tre server compromessi ha rivelato che gli aggressori eseguono comandi per scoprire le credenziali dell'account utente, così come altri sistemi connessi alla stessa rete interna. Allo stesso tempo, BumbleBee Webshell potrebbe anche essere sfruttato per il movimento laterale con la rete della vittima.