Bumblebee Malware

תוכנה זדונית חדשה של מטעין מתוחכמת זוהתה כחלק לפחות משלוש פעולות מאיימות נפרדות. האיום, המכונה תוכנת זדונית Bumblebee, נפרס כתוכנה זדונית בשלב ראשוני עם המשימה של משלוח וביצוע של מטענים בשלב הבא. המטרה הצפויה של התוקפים היא לפרוס מטען סופי של תוכנת כופר למכשיר הפרוץ וסחיטת הקורבנות שנפגעו תמורת כסף.

פרטים על האיום נחשפו לציבור בדו"ח של פרופוינט. לפי החוקרים, ייתכן שהתוכנה הזדונית של Bumblebee מילאה את החלל שהותיר איום מטעין שזוהה בעבר המכונה BazaLoader. הקבוצות שמשתמשות בתוכנה זדונית של Bumblebee פועלות כמתווכים עם גישה ראשונית (IAB). ארגוני פשעי סייבר כאלה מתמקדים בחדירה למטרות ארגוניות ולאחר מכן במכירת הגישה המבוססת על הדלת האחורית לפושעי סייבר אחרים ברשת האפלה.

יכולות מאיימות

Bumblebee מדגימה מגוון רחב של טכניקות התחמקות משוכללות, למרות שהאיום עדיין נחשב תחת פיתוח פעיל. התוכנה הזדונית מבצעת בדיקות עבור סביבות ארגז חול או סימנים של וירטואליזציה. הוא גם מצפין את התקשורת שלו עם תשתית ה-Command-and-Control (C2, C&C) של פעולות התקיפה. Bumblebee גם סורקת את התהליכים הרצים במכשיר הפרוץ עבור כלים נפוצים לניתוח תוכנות זדוניות שנלקחו מרשימה מקודדת.

מאפיין מבחין נוסף של האיום הוא שהוא אינו משתמש באותם טכניקות חלול תהליך או הזרקת DLL הנצפות לעתים קרובות באיומים דומים. במקום זאת, Bumblebee משתמש בהזרקת APC (קריאת פרוצדורה אסינכרונית), המאפשרת לה להפעיל את קוד המעטפת מהפקודות הנכנסות שנשלחות על ידי שרת ה-C2 שלה. הפעולות הראשונות שננקטות על ידי האיום לאחר פריסה על המכונות הממוקדות כוללות איסוף מידע מערכת ויצירת 'זיהוי לקוח'.

לאחר מכן, Bumblebee תנסה ליצור קשר עם שרתי C2 על ידי גישה לכתובת הקשורה המאוחסנת בטקסט רגיל. גרסאות האיום שנותחו על ידי החוקרים יכלו לזהות מספר פקודות, כולל הזרקת קוד shell, הזרקת DLL, התחלת מנגנון התמדה, שליפת קובצי ההפעלה של המטען הבא ואפשרות הסרה.