BumbleBee Webshell

Die xHunt-Bedrohungskampagne ist nicht nur noch nicht abgeschlossen, sondern Infosec-Forscher entdecken auch neue Malware-Tools, die von den Hackern bereitgestellt werden. Die neueste Version, die von den Experten von Palo Alto Networks entdeckt wurde, heißt BumbleBee Webshell. Die Angreifer verwendeten dieses spezielle Tool als Teil der Kompromittierung eines Microsoft Exchange-Servers einer kuwaitischen Organisation. Darüber hinaus wurde die BubleBee-Webshell auch auf den internen IIS-Servern (Internet Information Services) von zwei verschiedenen kuwaitischen Organisationen sowie auf dem Server erkannt, dem der gefährdete Exchange-Server gehörte.

Um BumbleBee Webshell auf Servern zu kontaktieren, die für das Internet geöffnet sind, verwendeten die Hacker VPNs (Virtual Private Networks), die über den privaten Internetzugang bereitgestellt wurden. Dank dieser Methode konnten die Angreifer ihre IP-Adresse ändern, sodass es so aussah, als stamme die Verbindung aus verschiedenen Ländern, darunter Schweden, Belgien, Deutschland, Italien, Irland, den Niederlanden, Portugal, Luxemburg, Polen, USA, und Großbritannien. Gleichzeitig wechselten die Cyberkriminellen zwischen verschiedenen Betriebssystemen - Windows 10, Windows 8.1 und Linux - und verschiedenen Webbrowsern - Mozilla Firefox und Google Chrome. Ziel ist es, Erkennungsversuche zu behindern und die Analyse erheblich zu erschweren.

Die BumbleBee-Webshell ist eine bedrohliche Malware

Um auf die BumbleBee-Webshell auf den internen IIS-Webservern zuzugreifen, auf die nicht direkt über das Internet zugegriffen werden kann, hat der Bedrohungsakteur SSH-Tunnel eingerichtet. Es gibt Hinweise darauf, dass die Hacker mithilfe des PuTTY Link (Plink) -Tools SSH-Tunnel erstellt haben, die als Verbindung zu den internen Diensten des gefährdeten Netzwerks dienten.

Um die BumbleBee-Webshell vollständig bereitzustellen und ihre Funktionalität zu initiieren, müssen zwei Kennwörter angegeben werden. Die erste ist erforderlich, um die Webshell einfach anzuzeigen, während die zweite erforderlich ist, um mit ihr zu interagieren. BumbleBee hat insgesamt drei Befehle erkannt, die jedoch mehr als ausreichen, um eine Vielzahl von Bedrohungsoperationen durchzuführen:

• Beliebige Befehle über cmd / c ausführen
• Dateien in einen bestimmten Ordner auf dem Server des Angreifers hochladen
• Zusätzliche Dateien vom Server herunterladen

Die Analyse der Aktivität auf den drei gefährdeten Servern ergab, dass die Angreifer Befehle ausführen, um die Anmeldeinformationen des Benutzerkontos sowie andere Systeme zu ermitteln, die mit demselben internen Netzwerk verbunden sind. Gleichzeitig könnte die BumbleBee-Webshell auch für seitliche Bewegungen mit dem Netzwerk des Opfers genutzt werden.