بدافزار Bumblebee
یک بدافزار جدید لودر پیچیده به عنوان بخشی از حداقل سه عملیات تهدیدکننده جداگانه شناسایی شده است. این تهدید که بدافزار Bumblebee نام دارد، به عنوان یک بدافزار مرحله اولیه که وظیفه تحویل و اجرای بارهای مرحله بعدی را دارد، مستقر می شود. هدف احتمالی مهاجمان، استقرار یک باج افزار نهایی به دستگاه نفوذ شده و اخاذی از قربانیان آسیب دیده برای پول است.
جزئیات این تهدید در گزارشی توسط Proofpoint برای عموم فاش شد. به گفته محققان، بدافزار Bumblebee ممکن است جای خالی یک تهدید لودر شناسایی شده قبلی به نام BazaLoader را پر کرده باشد. اعتقاد بر این است که گروه هایی که از بدافزار Bumblebee استفاده می کنند به عنوان واسطه های دسترسی اولیه (IABs) عمل می کنند. چنین سازمانهای جرایم سایبری بر نفوذ به اهداف شرکتها و سپس فروش دسترسی درب پشتی ایجاد شده به سایر مجرمان سایبری در دارک وب متمرکز هستند.
قابلیت های تهدید کننده
بامبلبی طیف گستردهای از تکنیکهای پیچیده فرار را نشان میدهد، حتی اگر تهدید هنوز در حال توسعه فعال در نظر گرفته شود. بدافزار بررسی هایی را برای محیط های sandbox یا نشانه های مجازی سازی انجام می دهد. همچنین ارتباطات خود را با زیرساخت فرماندهی و کنترل (C2, C&C) عملیات حمله رمزگذاری می کند. Bumblebee همچنین فرآیندهای در حال اجرا در دستگاه نقض شده را برای ابزارهای تجزیه و تحلیل بدافزار متداول که از یک لیست کدگذاری شده گرفته شده اند اسکن می کند.
یکی دیگر از ویژگیهای متمایز تهدید این است که از تکنیکهای حفرهای فرآیند یا تزریق DLL که اغلب در تهدیدات مشابه مشاهده میشود، استفاده نمیکند. در عوض، Bumblebee از تزریق APC ( فراخوانی رویه ناهمزمان) استفاده می کند که به آن اجازه می دهد کد پوسته را از دستورات دریافتی ارسال شده توسط سرور C2 خود شروع کند. اولین اقدامات انجام شده توسط تهدید پس از استقرار در ماشین های هدف شامل جمع آوری اطلاعات سیستم و تولید "شناسه مشتری" است.
پس از آن، Bumblebee سعی خواهد کرد با دسترسی به آدرس مرتبط ذخیره شده در متن ساده با سرورهای C2 ارتباط برقرار کند. نسخههای تهدید تحلیلشده توسط محققان میتوانند چندین دستور از جمله تزریق کد پوسته، تزریق DLL، راهاندازی مکانیزم پایداری، واکشی فایلهای اجرایی بارگذاری مرحله بعدی و گزینه حذف را تشخیص دهند.