BumbleBee Webshell
A campanha de ameaça xHunt não só ainda está em andamento, mas os pesquisadores da Infosec estão detectando novas ferramentas de malware sendo implantadas pelos hackers. O mais recente descoberto pelos especialistas da Palo Alto Networks é chamado BumbleBee Webshell. Os invasores usaram essa ferramenta específica como parte do comprometimento de um servidor Microsoft Exchange pertencente a uma organização do Kuwait. Além disso, o BubleBee Webshell também foi detectado dentro dos servidores IIS (Internet Information Services) internos de duas organizações diferentes do Kuwait, bem como a que possuía o servidor Exchange comprometido.
Para contatar o BumbleBee Webshell em servidores abertos para a Internet, os hackers usaram VPNs (Redes Privadas Virtuais) fornecidas pelo acesso privado à Internet. Graças a esse método, os invasores foram capazes de alterar seu endereço IP, fazendo parecer que a conexão se originou de vários países diferentes, incluindo Suécia, Bélgica, Alemanha, Itália, Irlanda, Holanda, Portugal, Luxemburgo, Polônia e o Reino Unido. Ao mesmo tempo, os cibercriminosos alternaram entre diferentes sistemas operacionais - Windows 10, Windows 8.1 e Linux, e diferentes navegadores da Web - Mozilla Firefox e Google Chrome. O objetivo é impedir qualquer tentativa de detecção e tornar a análise muito mais difícil.
O BumbleBee Webshell é um Malware Ameaçador
Para acessar o BumbleBee Webshell nos servidores da Web IIS internos, que não são acessíveis diretamente da Internet, o agente da ameaça estabeleceu túneis SSH. As evidências sugerem que, por meio da ferramenta PuTTY Link (Plink), os hackers criaram túneis SSH que serviam como uma conexão para os serviços internos da rede comprometida.
Para implantar totalmente o BumbleBee Webshell e iniciar sua funcionalidade, duas senhas devem ser fornecidas. O primeiro é necessário para simplesmente visualizar o webshell, enquanto o segundo é necessário para interagir com ele. BumbleBee reconheceu três comandos no total, mas eles são mais do que suficientes para conduzir uma variedade de operações ameaçadoras:
- Executar comandos arbitrários por meio de cmd / c
- Fazer upload de arquivos para uma pasta específica no servidor do invasor
- Baixar arquivos adicionais do servidor
A análise da atividade nos três servidores comprometidos revelou que os invasores executam comandos para descobrir as credenciais da conta do usuário, bem como outros sistemas conectados à mesma rede interna. Ao mesmo tempo, o BumbleBee Webshell também pode ser aproveitado para movimento lateral com a rede da vítima.
