Зловреден софтуер на Bumblebee

Нов сложен зловреден софтуер за зареждане е идентифициран като част от поне три отделни заплашителни операции. Наречена злонамерен софтуер Bumblebee, заплахата се внедрява като зловреден софтуер от начален етап, натоварен с доставката и изпълнението на полезни товари от следващия етап. Вероятната цел на нападателите е да разположат окончателен ransomware полезен товар на пробитото устройство и изнудване на засегнатите жертви за пари.

Подробности за заплахата бяха разкрити на обществеността в доклад на Proofpoint. Според изследователите, зловредният софтуер Bumblebee може да е запълнил празнотата, оставена от по-рано идентифицирана заплаха за зареждане, известна като BazaLoader. Смята се, че групите, които използват злонамерен софтуер на Bumblebee, действат като брокери за първоначален достъп (IAB). Такива организации за киберпрестъпления са фокусирани върху проникване в корпоративни цели и след това да продават установения бекдор достъп на други киберпрестъпници в Dark Web.

Застрашаващи способности

Bumblebee демонстрира широка гама от сложни техники за избягване, въпреки че заплахата все още се счита за активно разработвана. Зловредният софтуер извършва проверки за пясъчни среди или признаци на виртуализация. Той също така криптира комуникацията си с инфраструктурата за командване и контрол (C2, C&C) на операциите за атака. Bumblebee също така сканира работещите процеси на нарушеното устройство за общи инструменти за анализ на зловреден софтуер, взети от твърдо кодиран списък.

Друга отличителна характеристика на заплахата е, че тя не използва същите техники за издълбаване на процеси или DLL инжектиране, често наблюдавани при подобни заплахи. Вместо това Bumblebee използва APC (асинхронно извикване на процедура) инжекция, която му позволява да инициира шелкода от входящите команди, изпратени от неговия C2 сървър. Първите действия, предприети от заплахата, веднъж разгърната на целевите машини, включват събиране на системна информация и генериране на „Идентификатор на клиента“.

След това Bumblebee ще се опита да установи контакт със сървърите C2 чрез достъп до свързания адрес, съхранен в обикновен текст. Версиите на заплахата, анализирани от изследователите, могат да разпознаят няколко команди, включително инжектиране на шелкод, инжектиране на DLL, иницииране на механизъм за постоянство, извличане на изпълними файлове на полезния товар от следващия етап и опция за деинсталиране.