พบมัลแวร์ Bumblebee กลับมาโจมตีอีกครั้ง ผ่านช่องทาง WebDAV

พบมัลแวร์ Bumblebee กลับมาโจมตีอีกครั้ง ผ่านช่องทาง WebDAV

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Intel 471 ตรวจพบความเคลื่อนไหวของมัลแวร์ Bumblebee อีกครั้งหลังจากหยุดการโจมตีไปเป็นเวลาเกือบ 2 เดือน ล่าสุดมัลแวร์ตัวนี้มีการสร้างแคมเปญจากโจมตีใหม่ที่ใช้ช่องทาง WebDAV หรือ Web Distributed Authoring and Versioning ของเว็บไซต์ 4shared เป็นช่องทางในการกระจายตัวและสั่งการหลังการโจมตี โดย WebDAV นั้นเป็น HTTP protocol สำหรับการสร้างและแก้ไขเนื้อหาบน Web Server ซึ่งการใช้แพลตฟอร์มแชร์ไฟล์อย่าง 4shared และ WebDAV ทำให้ Bumblebee สามารถหลบเลี่ยงการตรวจจับจากหลายๆระบบได้ และมีการส่งสแปมเมล์ที่แนบไฟล์ Shortcut .LNK ไปยังเหยื่อเพื่อใช้ในการโจมตีอีกด้วย

นอกจากนี้ Bumblebee ยังมีการเปลี่ยนวิธีการส่งข้อมูลไปยัง C2 Server ใหม่จาก WebSocket เป็น TCP Protocol และหันมาใช้ Domain Generation Algorithm (DGA) เพื่อทำให้การค้นหาและบล็อก Domain เป็นไปได้ยากยิ่งขึ้น

ที่มา: https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/