Złośliwe oprogramowanie trzmiela
Nowe wyrafinowane złośliwe oprogramowanie ładujące zostało zidentyfikowane jako część co najmniej trzech oddzielnych operacji zagrażających. Nazywane złośliwym oprogramowaniem Bumblebee, zagrożenie jest wdrażane jako złośliwe oprogramowanie na początkowym etapie, którego zadaniem jest dostarczanie i wykonywanie ładunków następnego etapu. Prawdopodobnym celem atakujących jest wdrożenie ostatecznego ładunku oprogramowania ransomware na złamanym urządzeniu i wyłudzenie pieniędzy od zaatakowanych ofiar.
Szczegóły dotyczące zagrożenia zostały ujawnione opinii publicznej w raporcie Proofpoint. Według naukowców szkodliwe oprogramowanie Bumblebee mogło wypełnić pustkę pozostawioną przez wcześniej zidentyfikowane zagrożenie ładujące, znane jako BazaLoader. Uważa się, że grupy, które wykorzystują złośliwe oprogramowanie Bumblebee, działają jako brokerzy początkowego dostępu (IAB). Takie organizacje cyberprzestępcze skupiają się na infiltracji celów korporacyjnych, a następnie sprzedawaniu ustanowionych tylnych drzwi innym cyberprzestępcom w Dark Web.
Zdolności grożące
Bumblebee demonstruje szeroki zakres skomplikowanych technik unikania, mimo że zagrożenie nadal jest aktywnie rozwijane. Złośliwe oprogramowanie sprawdza środowiska piaskownicy lub oznaki wirtualizacji. Szyfruje również swoją komunikację z infrastrukturą Command-and-Control (C2, C&C) operacji ataku. Bumblebee skanuje również uruchomione procesy na złamanym urządzeniu w poszukiwaniu popularnych narzędzi do analizy złośliwego oprogramowania pobranych z zakodowanej na sztywno listy.
Inną wyróżniającą cechą zagrożenia jest to, że nie używa ono tych samych technik wydrążania procesu lub wstrzykiwania DLL, które często występują w podobnych zagrożeniach. Zamiast tego Bumblebee wykorzystuje wstrzykiwanie APC (asynchroniczne wywołanie procedury), które umożliwia inicjowanie szelkodu z przychodzących poleceń wysyłanych przez jego serwer C2. Pierwsze działania podjęte przez zagrożenie po wdrożeniu na zaatakowanych maszynach obejmują zbieranie informacji o systemie i generowanie „identyfikatora klienta”.
Następnie Bumblebee spróbuje nawiązać kontakt z serwerami C2, uzyskując dostęp do powiązanego adresu zapisanego w postaci zwykłego tekstu. Wersje zagrożenia analizowane przez badaczy mogły rozpoznawać kilka poleceń, w tym wstrzykiwanie szelkodu, wstrzykiwanie DLL, inicjowanie mechanizmu utrwalania, pobieranie plików wykonywalnych ładunku następnego etapu oraz opcję odinstalowania.
