Bumblebee البرامج الضارة
تم تحديد برنامج ضار محمل متطور جديد كجزء من ثلاث عمليات تهديد منفصلة على الأقل. يُطلق على التهديد اسم البرنامج الضار Bumblebee ، ويتم نشر التهديد كبرنامج ضار في المرحلة الأولية مهمته تسليم وتنفيذ حمولات المرحلة التالية. الهدف المحتمل للمهاجمين هو نشر حمولة فدية نهائية على الجهاز المخترق وابتزاز الضحايا المتضررين مقابل المال.
تم الكشف عن تفاصيل حول التهديد للجمهور في تقرير صادر عن Proofpoint. وفقًا للباحثين ، ربما ملأ برنامج Bumblebee الضار الفراغ الذي خلفه تهديد اللودر الذي تم تحديده مسبقًا والمعروف باسم BazaLoader. يُعتقد أن المجموعات التي تستخدم برامج Bumblebee الضارة تعمل كوسيط وصول أولي (IABs). تركز منظمات الجرائم الإلكترونية هذه على التسلل إلى أهداف الشركة ثم بيع الوصول المستتر المؤسس إلى مجرمي الإنترنت الآخرين على شبكة الويب المظلمة.
تهديد القدرات
يوضح Bumblebee مجموعة واسعة من تقنيات المراوغة المعقدة ، على الرغم من أن التهديد لا يزال قيد التطوير النشط. تقوم البرامج الضارة بإجراء عمليات فحص لبيئات وضع الحماية أو علامات المحاكاة الافتراضية. كما تقوم أيضًا بتشفير اتصالاتها مع البنية التحتية للقيادة والتحكم (C2 ، C&C) لعمليات الهجوم. تفحص Bumblebee أيضًا العمليات الجارية على الجهاز الذي تم اختراقه بحثًا عن أدوات تحليل البرامج الضارة الشائعة المأخوذة من قائمة ثابتة.
السمة المميزة الأخرى للتهديد هي أنه لا يستخدم نفس عملية التجويف أو تقنيات حقن DLL التي غالبًا ما يتم ملاحظتها في التهديدات المماثلة. بدلاً من ذلك ، يستخدم Bumblebee حقنة APC (استدعاء إجراء غير متزامن) ، مما يسمح له ببدء كود القشرة من الأوامر الواردة التي يرسلها خادم C2 الخاص به. تتضمن الإجراءات الأولى التي يتخذها التهديد بمجرد نشره على الأجهزة المستهدفة جمع معلومات النظام وإنشاء "معرف العميل".
بعد ذلك ، سيحاول Bumblebee إنشاء اتصال بخوادم C2 من خلال الوصول إلى العنوان المرتبط المخزن في نص عادي. يمكن أن تتعرف إصدارات التهديد التي حللها الباحثون على عدة أوامر ، بما في ذلك حقن كود القشرة ، وحقن DLL ، وبدء آلية الاستمرارية ، وجلب الملفات التنفيذية لحمولة المرحلة التالية وخيار إلغاء التثبيت.
