BumbleBee Webshell

La campagne de menace xHunt est non seulement toujours en cours, mais les chercheurs d'Infosec détectent de nouveaux outils malveillants déployés par les pirates. La dernière découverte par les experts de Palo Alto Networks s'appelle BumbleBee Webshell. Les attaquants ont utilisé cet outil particulier dans le cadre de la compromission d'un serveur Microsoft Exchange appartenant à une organisation koweïtienne. En outre, le BubleBee Webshell a également été détecté à l'intérieur des serveurs IIS (Internet Information Services) internes de deux organisations koweïtiennes différentes, ainsi que de celle qui possédait le serveur Exchange compromis.

Pour contacter BumbleBee Webshell sur des serveurs ouverts sur Internet, les pirates ont utilisé des VPN (Virtual Private Networks) fournis par un accès Internet privé. Grâce à cette méthode, les attaquants étaient capables de changer leur adresse IP, donnant l'impression que la connexion provenait de différents pays, dont la Suède, la Belgique, l'Allemagne, l'Italie, l'Irlande, les Pays-Bas, le Portugal, le Luxembourg, la Pologne et le Royaume-Uni. Dans le même temps, les cybercriminels ont basculé entre différents systèmes d'exploitation - Windows 10, Windows 8.1 et Linux, et différents navigateurs Web - Mozilla Firefox et Google Chrome. Le but est d'empêcher toute tentative de détection et de rendre l'analyse encore plus difficile.

Le BumbleBee Webshell est un malware menaçant

Pour accéder au BumbleBee Webshell sur les serveurs Web IIS internes, qui ne sont pas directement accessibles depuis Internet, le menaçant a établi des tunnels SSH. Les preuves suggèrent que grâce à l'outil PuTTY Link (Plink), les pirates ont créé des tunnels SSH qui servaient de connexion aux services internes du réseau compromis.

Pour déployer complètement le BumbleBee Webshell et lancer sa fonctionnalité, deux mots de passe doivent être fournis. Le premier est nécessaire pour afficher simplement le webshell, tandis que le second est nécessaire pour interagir avec lui. BumbleBee a reconnu trois commandes au total, mais elles sont plus que suffisantes pour mener une variété d'opérations menaçantes:

• Exécuter des commandes arbitraires via cmd / c
• Télécharger des fichiers dans un dossier spécifique sur le serveur de l'attaquant
• Télécharger des fichiers supplémentaires à partir du serveur

L'analyse de l'activité sur les trois serveurs compromis a révélé que les attaquants exécutaient des commandes pour découvrir les informations d'identification du compte utilisateur, ainsi que d'autres systèmes connectés au même réseau interne. Dans le même temps, le BumbleBee Webshell pourrait également être utilisé pour un mouvement latéral avec le réseau de la victime.