Bumblebee pahavara
Vähemalt kolme erineva ähvardava toimingu osana on tuvastatud uus keerukas laadija pahavara. Nimega Bumblebee pahavara, oht on juurutatud algstaadiumis pahavarana, mille ülesandeks on järgmise etapi kasulike koormuste kohaletoimetamine ja käivitamine. Ründajate tõenäoline eesmärk on paigutada murtud seadmesse lõplik lunavara kasulik koormus ja mõjutatud ohvrite raha eest väljapressimine.
Ohu üksikasjad avalikustati avalikkusele Proofpointi raportis. Uurijate sõnul võis Bumblebee pahavara täita tühimiku, mille jättis varem tuvastatud laadimisoht, mida tuntakse nimega BazaLoader. Arvatakse, et Bumblebee pahavara kasutavad rühmad tegutsevad esialgse juurdepääsu vahendajatena (IAB). Sellised küberkuritegevuse organisatsioonid on keskendunud ettevõtete sihtmärkidesse imbumisele ja seejärel väljakujunenud tagaukse juurdepääsu müümisele teistele Dark Web'i küberkurjategijatele.
Ähvardamise võimed
Bumblebee demonstreerib laia valikut keerukaid kõrvalehoidmistehnikaid, kuigi ohtu peetakse endiselt aktiivseks arendamiseks. Pahavara kontrollib liivakastikeskkondi või virtualiseerimismärke. Samuti krüpteerib see suhtluse ründeoperatsioonide Command-and-Control (C2, C&C) infrastruktuuriga. Bumblebee kontrollib ka rikutud seadmes töötavaid protsesse, et leida tavalisi pahavara analüüsitööriistu, mis on võetud kõvakodeeritud loendist.
Teine ohu eristav omadus on see, et see ei kasuta sama protsessi õõnestamist ega DLL-i sisestamise tehnikaid, mida sageli täheldatakse sarnaste ohtude puhul. Selle asemel kasutab Bumblebee APC (asünkroonse protseduuri kutse) süsti, mis võimaldab käivitada shellkoodi C2-serveri saadetud sissetulevatest käskudest. Esimesed toimingud, mille oht pärast sihitud masinatele juurutatud on, hõlmavad süsteemiteabe kogumist ja „kliendi ID” loomist.
Seejärel püüab Bumblebee luua kontakti C2-serveritega, pääsedes juurde lihttekstina salvestatud seotud aadressile. Teadlaste analüüsitud ohu versioonid võisid ära tunda mitmeid käske, sealhulgas shellkoodi süstimine, DLL-i süstimine, püsivusmehhanismi käivitamine, järgmise etapi kasuliku koormuse käivitatavate failide toomine ja desinstallimisvõimalus.
