Bumblebee haittaohjelma
Uusi kehittynyt lataushaittaohjelma on tunnistettu osaksi ainakin kolmea erillistä uhkaavaa toimintaa. Bumblebee-haittaohjelmaksi kutsuttu uhka on otettu käyttöön alkuvaiheen haittaohjelmana, jonka tehtävänä on toimittaa ja suorittaa seuraavan vaiheen hyötykuormia. Hyökkääjien todennäköinen tavoite on lähettää lopullinen kiristysohjelma hyötykuorma rikotun laitteen päälle ja uhrien kiristys rahasta.
Uhkauksen yksityiskohdat paljastettiin yleisölle Proofpointin raportissa. Tutkijoiden mukaan Bumblebee-haittaohjelma saattoi täyttää aiemmin tunnistetun BazaLoader-latausuhan jättämän tyhjyyden. Bumblebee-haittaohjelmia käyttävien ryhmien uskotaan toimivan alkupääsyn välittäjinä (IAB). Tällaiset kyberrikollisuusorganisaatiot keskittyvät soluttautumaan yritysten kohteisiin ja myymään sitten vakiintuneen takaoven pääsyn muille Dark Webin kyberrikollisille.
Uhkaavat ominaisuudet
Bumblebee esittelee laajan valikoiman monimutkaisia väistötekniikoita, vaikka uhan katsotaan olevan edelleen aktiivisesti kehitteillä. Haittaohjelma tarkistaa hiekkalaatikkoympäristöjen tai virtualisoinnin merkit. Se myös salaa viestinnän hyökkäystoimintojen Command-and-Control (C2, C&C) -infrastruktuurin kanssa. Bumblebee myös skannaa rikotun laitteen käynnissä olevista prosesseista yleisiä haittaohjelmien analysointityökaluja, jotka on otettu kovakoodatusta luettelosta.
Toinen uhan erottuva piirre on, että se ei käytä samaa prosessin tyhjennys- tai DLL-injektiotekniikkaa, jota usein havaitaan vastaavissa uhissa. Sen sijaan Bumblebee käyttää APC-injektiota (asynchronous procedure call), jonka avulla se voi aloittaa shellkoodin sen C2-palvelimen lähettämistä saapuvista komennoista. Ensimmäiset toimet, joita uhka on otettu käyttöön kohteena olevissa koneissa, sisältävät järjestelmätietojen keräämisen ja asiakastunnuksen luomisen.
Myöhemmin Bumblebee yrittää muodostaa yhteyden C2-palvelimiin käyttämällä siihen liittyvää osoitetta, joka on tallennettu selkeästi. Tutkijoiden analysoimat uhan versiot pystyivät tunnistamaan useita komentoja, kuten shellcode-injektion, DLL-injektion, pysyvyysmekanismin käynnistämisen, seuraavan vaiheen hyötykuorman suoritettavien tiedostojen hakemisen ja asennuksen poistovaihtoehdon.
