Κακόβουλο λογισμικό Bumblebee
Ένα νέο εξελιγμένο κακόβουλο λογισμικό φόρτωσης έχει εντοπιστεί ως μέρος τουλάχιστον τριών ξεχωριστών απειλητικών λειτουργιών. Ονομάστηκε κακόβουλο λογισμικό Bumblebee, η απειλή αναπτύσσεται ως κακόβουλο λογισμικό αρχικού σταδίου που έχει ως αποστολή την παράδοση και την εκτέλεση ωφέλιμων φορτίων επόμενου σταδίου. Ο πιθανός στόχος των εισβολέων είναι να αναπτύξουν ένα τελικό ωφέλιμο φορτίο ransomware στη συσκευή που έχει παραβιαστεί και να εκβιάσουν τα θύματα που επηρεάζονται για χρήματα.
Λεπτομέρειες για την απειλή αποκαλύφθηκαν στη δημοσιότητα σε ρεπορτάζ του Proofpoint. Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό Bumblebee μπορεί να έχει καλύψει το κενό που άφησε μια προηγουμένως αναγνωρισμένη απειλή φορτωτή γνωστή ως BazaLoader. Οι ομάδες που χρησιμοποιούν κακόβουλο λογισμικό Bumblebee πιστεύεται ότι ενεργούν ως μεσίτες αρχικής πρόσβασης (IABs). Τέτοιες οργανώσεις εγκληματικότητας στον κυβερνοχώρο επικεντρώνονται στη διείσδυση εταιρικών στόχων και στη συνέχεια στην πώληση της καθιερωμένης κερκόπορτας πρόσβασης σε άλλους εγκληματίες στον κυβερνοχώρο στο Dark Web.
Απειλητικές Ικανότητες
Το Bumblebee επιδεικνύει μια εκτεταμένη γκάμα περίπλοκων τεχνικών φοροδιαφυγής, παρόλο που η απειλή εξακολουθεί να θεωρείται υπό ενεργό ανάπτυξη. Το κακόβουλο λογισμικό εκτελεί ελέγχους για περιβάλλοντα sandbox ή σημάδια εικονικοποίησης. Κρυπτογραφεί επίσης την επικοινωνία του με την υποδομή Command-and-Control (C2, C&C) των επιχειρήσεων επίθεσης. Το Bumblebee σαρώνει επίσης τις διεργασίες που εκτελούνται στη συσκευή που έχει παραβιαστεί για κοινά εργαλεία ανάλυσης κακόβουλου λογισμικού που λαμβάνονται από μια λίστα με σκληρό κώδικα.
Ένα άλλο διακριτικό χαρακτηριστικό της απειλής είναι ότι δεν χρησιμοποιεί τις ίδιες τεχνικές κοίλωσης διεργασιών ή έγχυσης DLL που παρατηρούνται συχνά σε παρόμοιες απειλές. Αντίθετα, το Bumblebee χρησιμοποιεί μια έγχυση APC (ασύγχρονη κλήση διαδικασίας), η οποία του επιτρέπει να εκκινεί τον κώδικα φλοιού από τις εισερχόμενες εντολές που αποστέλλονται από τον διακομιστή C2 του. Οι πρώτες ενέργειες που πραγματοποιούνται από την απειλή μόλις αναπτυχθεί στα στοχευόμενα μηχανήματα περιλαμβάνουν τη συλλογή πληροφοριών συστήματος και τη δημιουργία ενός «Client ID».
Στη συνέχεια, το Bumblebee θα προσπαθήσει να δημιουργήσει επαφή με τους διακομιστές C2, αποκτώντας πρόσβαση στη σχετική διεύθυνση που είναι αποθηκευμένη σε απλό κείμενο. Οι εκδόσεις της απειλής που αναλύθηκαν από τους ερευνητές μπορούσαν να αναγνωρίσουν πολλές εντολές, όπως injection shellcode, DLL injection, εκκίνηση ενός μηχανισμού persistence, λήψη των εκτελέσιμων αρχείων του ωφέλιμου φορτίου επόμενου σταδίου και μια επιλογή απεγκατάστασης.
