Threat Database Malware BumbleBee Webshell

BumbleBee Webshell

De bedreigende xHunt-campagne is niet alleen nog gaande, maar infosec-onderzoekers detecteren nieuwe malwaretools die door de hackers worden ingezet. De nieuwste die door de experts van Palo Alto Networks is opgegraven, heet BumbleBee Webshell. De aanvallers gebruikten deze specifieke tool als onderdeel van het compromitteren van een Microsoft Exchange-server van een Koeweitse organisatie. Bovendien werd de BubleBee Webshell ook gedetecteerd in de interne IIS-servers (Internet Information Services) van twee verschillende Koeweitse organisaties, evenals degene die eigenaar was van de gecompromitteerde Exchange-server.

Om contact op te nemen met BumbleBee Webshell op servers die voor internet waren geopend, gebruikten de hackers VPN's (Virtual Private Networks) die werden aangeboden door Private Internet-toegang. Dankzij deze methode konden de aanvallers hun IP-adres wijzigen, waardoor het lijkt alsof de verbinding afkomstig was uit verschillende, verschillende landen, waaronder Zweden, België, Duitsland, Italië, Ierland, Nederland, Portugal, Luxemburg, Polen en de Verenigd Koningkrijk. Tegelijkertijd schakelden de cybercriminelen tussen verschillende besturingssystemen - Windows 10, Windows 8.1 en Linux, en verschillende webbrowsers - Mozilla Firefox en Google Chrome. Het doel is om pogingen tot detectie te belemmeren en analyse zo veel moeilijker te maken.

De BumbleBee Webshell is een bedreigende malware

Om toegang te krijgen tot de BumbleBee Webshell op de interne IIS-webservers, die niet rechtstreeks vanaf internet toegankelijk zijn, heeft de bedreigingsacteur SSH-tunnels opgezet. Er zijn aanwijzingen dat de hackers via de PuTTY Link (Plink) -tool SSH-tunnels hebben gemaakt die dienden als een verbinding met de interne services van het gecompromitteerde netwerk.

Om de BumbleBee Webshell volledig te implementeren en de functionaliteit te starten, moeten twee wachtwoorden worden opgegeven. De eerste is nodig om eenvoudig de webshell te bekijken, terwijl de tweede nodig is om ermee te communiceren. BumbleBee herkende in totaal drie commando's, maar ze zijn meer dan genoeg om verschillende bedreigende operaties uit te voeren:

  • Voer willekeurige opdrachten uit via cmd / c
  • Upload bestanden naar een specifieke map op de server van de aanvaller
  • Download extra bestanden van de server

Analyse van de activiteit op de drie gecompromitteerde servers onthulde dat de aanvallers opdrachten uitvoeren om de inloggegevens van gebruikersaccounts te achterhalen, evenals andere systemen die op hetzelfde interne netwerk zijn aangesloten. Tegelijkertijd kan de BumbleBee Webshell ook worden gebruikt voor zijwaartse beweging met het netwerk van het slachtoffer.

Trending

Meest bekeken

Bezig met laden...