بدافزار Bumblebee

یک بدافزار جدید لودر پیچیده به عنوان بخشی از حداقل سه عملیات تهدیدکننده جداگانه شناسایی شده است. این تهدید که بدافزار Bumblebee نام دارد، به عنوان یک بدافزار مرحله اولیه که وظیفه تحویل و اجرای بارهای مرحله بعدی را دارد، مستقر می شود. هدف احتمالی مهاجمان، استقرار یک باج افزار نهایی به دستگاه نفوذ شده و اخاذی از قربانیان آسیب دیده برای پول است.

جزئیات این تهدید در گزارشی توسط Proofpoint برای عموم فاش شد. به گفته محققان، بدافزار Bumblebee ممکن است جای خالی یک تهدید لودر شناسایی شده قبلی به نام BazaLoader را پر کرده باشد. اعتقاد بر این است که گروه هایی که از بدافزار Bumblebee استفاده می کنند به عنوان واسطه های دسترسی اولیه (IABs) عمل می کنند. چنین سازمان‌های جرایم سایبری بر نفوذ به اهداف شرکت‌ها و سپس فروش دسترسی درب پشتی ایجاد شده به سایر مجرمان سایبری در دارک وب متمرکز هستند.

قابلیت های تهدید کننده

بامبل‌بی طیف گسترده‌ای از تکنیک‌های پیچیده فرار را نشان می‌دهد، حتی اگر تهدید هنوز در حال توسعه فعال در نظر گرفته شود. بدافزار بررسی هایی را برای محیط های sandbox یا نشانه های مجازی سازی انجام می دهد. همچنین ارتباطات خود را با زیرساخت فرماندهی و کنترل (C2, C&C) عملیات حمله رمزگذاری می کند. Bumblebee همچنین فرآیندهای در حال اجرا در دستگاه نقض شده را برای ابزارهای تجزیه و تحلیل بدافزار متداول که از یک لیست کدگذاری شده گرفته شده اند اسکن می کند.

یکی دیگر از ویژگی‌های متمایز تهدید این است که از تکنیک‌های حفره‌ای فرآیند یا تزریق DLL که اغلب در تهدیدات مشابه مشاهده می‌شود، استفاده نمی‌کند. در عوض، Bumblebee از تزریق APC ( فراخوانی رویه ناهمزمان) استفاده می کند که به آن اجازه می دهد کد پوسته را از دستورات دریافتی ارسال شده توسط سرور C2 خود شروع کند. اولین اقدامات انجام شده توسط تهدید پس از استقرار در ماشین های هدف شامل جمع آوری اطلاعات سیستم و تولید "شناسه مشتری" است.

پس از آن، Bumblebee سعی خواهد کرد با دسترسی به آدرس مرتبط ذخیره شده در متن ساده با سرورهای C2 ارتباط برقرار کند. نسخه‌های تهدید تحلیل‌شده توسط محققان می‌توانند چندین دستور از جمله تزریق کد پوسته، تزریق DLL، راه‌اندازی مکانیزم پایداری، واکشی فایل‌های اجرایی بارگذاری مرحله بعدی و گزینه حذف را تشخیص دهند.