BumbleBee Webshell

Den truende xHunt-kampagne er ikke kun i gang, men infosec-forskere opdager nye malware-værktøjer, der implementeres af hackerne. Den seneste, der blev fundet af eksperterne hos Palo Alto Networks, hedder BumbleBee Webshell. Angriberne brugte netop dette værktøj som en del af kompromiset mellem en Microsoft Exchange-server, der tilhører en kuwaitisk organisation. Desuden blev BubleBee Webshell også detekteret inde i de interne IIS (Internet Information Services) servere fra to forskellige kuwaitiske organisationer såvel som den, der ejede den kompromitterede Exchange-server.

For at kontakte BumbleBee Webshell på servere, der er åbnet for Internettet, brugte hackerne VPN'er (Virtual Private Networks) leveret af privat internetadgang. Takket være denne metode var angriberne i stand til at ændre deres IP-adresse, hvilket fik det til at se ud som om forbindelsen stammede fra forskellige forskellige lande, herunder Sverige, Belgien, Tyskland, Italien, Irland, Holland, Portugal, Luxembourg, Polen og Det Forenede Kongerige. På samme tid skiftede cyberkriminelle mellem forskellige operativsystemer - Windows 10, Windows 8.1 og Linux og forskellige webbrowsere - Mozilla Firefox og Google Chrome. Målet er at hæmme ethvert forsøg på detektion og at gøre analysen meget hårdere.

BumbleBee Webshell er en truende malware

For at få adgang til BumbleBee Webshell på de interne IIS-webservere, som ikke er tilgængelige direkte fra Internettet, etablerede trusselsaktøren SSH-tunneller. Bevis tyder på, at hackerne oprettede SSH-tunneler gennem PuTTY Link (Plink) -værktøjet, der fungerede som en forbindelse til det kompromitterede netværks interne tjenester.

For at implementere BumbleBee Webshell fuldt ud og starte dens funktionalitet skal der gives to adgangskoder. Den første er nødvendig for blot at se webshell, mens den anden er nødvendig for at interagere med den. BumbleBee anerkendte i alt tre kommandoer, men de er mere end nok til at udføre en række truende operationer:

• Udfør vilkårlige kommandoer gennem cmd / c
• Upload filer til en bestemt mappe på angriberens server
• Download yderligere filer fra serveren

Analyse af aktiviteten på de tre kompromitterede servere afslørede, at angriberne kører kommandoer for at finde brugerkontooplysninger samt andre systemer, der er forbundet til det samme interne netværk. På samme tid kunne BumbleBee Webshell også udnyttes til lateral bevægelse med offerets netværk.