Bumblebee Malware
En ny sofistikeret loader-malware er blevet identificeret som en del af mindst tre separate truende operationer. Truslen, som er navngivet Bumblebee-malwaren, er implementeret som en indledende malware, der har til opgave at levere og udføre næste trins nyttelast. Det sandsynlige mål for angriberne er at implementere en endelig ransomware-nyttelast til den brudte enhed og afpresning af de berørte ofre for penge.
Detaljer om truslen blev afsløret for offentligheden i en rapport fra Proofpoint. Ifølge forskerne kan Bumblebee-malwaren have udfyldt tomrummet efter en tidligere identificeret loader-trussel kendt som BazaLoader. De grupper, der bruger Bumblebee-malware, menes at fungere som initial-access-mæglere (IAB'er). Sådanne cyberkriminelle organisationer er fokuseret på at infiltrere virksomhedsmål og derefter sælge den etablerede bagdørsadgang til andre cyberkriminelle på Dark Web.
Truende egenskaber
Bumblebee demonstrerer et omfattende udvalg af komplicerede undvigelsesteknikker, selvom truslen stadig anses for at være under aktiv udvikling. Malwaren udfører tjek for sandkassemiljøer eller tegn på virtualisering. Den krypterer også sin kommunikation med Command-and-Control (C2, C&C) infrastrukturen for angrebsoperationerne. Bumblebee scanner også de kørende processer på den brudte enhed for almindelige malware-analyseværktøjer taget fra en hårdkodet liste.
Et andet karakteristisk kendetegn ved truslen er, at den ikke bruger den samme procesudhulning eller DLL-injektionsteknikker, som ofte observeres i lignende trusler. I stedet bruger Bumblebee en APC-indsprøjtning (asynchronous procedure call), som gør det muligt for den at starte shell-koden fra de indgående kommandoer sendt af sin C2-server. De første handlinger taget af truslen, når først den er blevet implementeret på de målrettede maskiner, omfatter indsamling af systemoplysninger og generering af et 'klient-id'.
Bagefter vil Bumblebee forsøge at etablere kontakt med C2-serverne ved at få adgang til den tilknyttede adresse gemt i klartekst. De versioner af truslen, der blev analyseret af forskere, kunne genkende adskillige kommandoer, herunder shellcode-injektion, DLL-injektion, initiering af en persistensmekanisme, hentning af eksekverbare filer fra næste trins nyttelast og en afinstallationsmulighed.
