Bumblebee zlonamjerni softver

Novi sofisticirani zlonamjerni softver za učitavanje identificiran je kao dio najmanje tri odvojene prijeteće operacije. Nazvana zlonamjernim softverom Bumblebee, prijetnja je raspoređena kao zlonamjerni softver u početnoj fazi koji ima zadatak da isporuči i izvrši korisni sadržaj sljedeće faze. Vjerojatni cilj napadača je postavljanje konačnog tereta ransomwarea na probijeni uređaj i iznuda zahvaćenih žrtava za novac.

Detalji o prijetnji javnosti su otkriveni u izvješću Proofpointa. Prema istraživačima, zlonamjerni softver Bumblebee možda je ispunio prazninu koju je ostavila prethodno identificirana prijetnja učitavača poznata kao BazaLoader. Vjeruje se da grupe koje koriste zlonamjerni softver Bumblebee djeluju kao brokeri za početni pristup (IAB). Takve organizacije za kibernetički kriminal usredotočene su na infiltriranje u korporativne mete, a zatim na prodaju uspostavljenog backdoor pristupa drugim kibernetičkim kriminalcima na Dark Webu.

Prijeteće sposobnosti

Bumblebee pokazuje širok raspon razrađenih tehnika izbjegavanja, iako se smatra da je prijetnja još uvijek u aktivnom razvoju. Zlonamjerni softver obavlja provjere za okruženja sandboxa ili znakove virtualizacije. Također šifrira svoju komunikaciju s infrastrukturom zapovijedanja i upravljanja (C2, C&C) operacija napada. Bumblebee također skenira pokrenute procese na oštećenom uređaju u potrazi za uobičajenim alatima za analizu zlonamjernog softvera preuzetim s tvrdo kodiranog popisa.

Još jedna razlikovna karakteristika prijetnje je da ne koristi iste tehnike šupljeg procesa ili DLL injekcije koje se često primjećuju u sličnim prijetnjama. Umjesto toga, Bumblebee koristi APC (asinkroni poziv procedure) injekciju, koja mu omogućuje da pokrene shellcode iz dolaznih naredbi koje šalje njegov C2 poslužitelj. Prve radnje koje poduzima prijetnja nakon što je postavljena na ciljane strojeve uključuju prikupljanje informacija o sustavu i generiranje 'Client ID-a'.

Nakon toga, Bumblebee će pokušati uspostaviti kontakt s C2 poslužiteljima pristupajući pridruženoj adresi pohranjenoj u otvorenom tekstu. Verzije prijetnje koje su analizirali istraživači mogle su prepoznati nekoliko naredbi, uključujući injekciju shellcode-a, ubrizgavanje DLL-a, pokretanje mehanizma postojanosti, dohvaćanje izvršnih datoteka sljedeće faze korisnog opterećenja i opciju deinstaliranja.