BumbleBee Webshell

La amenazante campaña xHunt no solo sigue en curso, sino que los investigadores de seguridad de la información están detectando nuevas herramientas de malware que están siendo implementadas por los piratas informáticos. El último descubierto por los expertos de Palo Alto Networks se llama BumbleBee Webshell. Los atacantes utilizaron esta herramienta en particular como parte del compromiso de un servidor Microsoft Exchange que pertenece a una organización kuwaití. Además, el BubleBee Webshell también se detectó dentro de los servidores IIS (Internet Information Services) internos de dos organizaciones kuwaitíes diferentes, así como en la que era propietaria del servidor Exchange comprometido.

Para ponerse en contacto con BumbleBee Webshell en servidores abiertos a Internet, los piratas informáticos utilizaron VPN (redes privadas virtuales) proporcionadas por el acceso privado a Internet. Gracias a este método, los atacantes fueron capaces de cambiar su dirección IP, haciendo que pareciera que la conexión se originó en varios países diferentes, incluidos Suecia, Bélgica, Alemania, Italia, Irlanda, Países Bajos, Portugal, Luxemburgo, Polonia y el Reino Unido. Al mismo tiempo, los ciberdelincuentes cambiaron entre diferentes sistemas operativos, Windows 10, Windows 8.1 y Linux, y diferentes navegadores web, Mozilla Firefox y Google Chrome. El objetivo es obstaculizar cualquier intento de detección y hacer que el análisis sea mucho más difícil.

BumbleBee Webshell es un malware amenazador

Para acceder a BumbleBee Webshell en los servidores web internos de IIS, a los que no se puede acceder directamente desde Internet, el actor de amenazas estableció túneles SSH. La evidencia sugiere que a través de la herramienta PuTTY Link (Plink), los piratas informáticos crearon túneles SSH que servían como conexión a los servicios internos de la red comprometida.

Para implementar por completo BumbleBee Webshell e iniciar su funcionalidad, se deben proporcionar dos contraseñas. El primero es necesario para ver simplemente el webshell, mientras que el segundo es necesario para interactuar con él. BumbleBee reconoció tres comandos en total, pero son más que suficientes para realizar una variedad de operaciones amenazantes:

• Ejecute comandos arbitrarios a través de cmd / c
• Sube archivos a una carpeta específica en el servidor del atacante
• Descargue archivos adicionales del servidor

El análisis de la actividad en los tres servidores comprometidos reveló que los atacantes ejecutan comandos para descubrir las credenciales de la cuenta del usuario, así como otros sistemas conectados a la misma red interna. Al mismo tiempo, el BumbleBee Webshell también podría aprovecharse para el movimiento lateral con la red de la víctima.