Bumblebee Malware
Egy új, kifinomult betöltő rosszindulatú programot azonosítottak legalább három különálló fenyegető művelet részeként. A Bumblebee malware névre keresztelt fenyegetés egy kezdeti fázisú rosszindulatú programként kerül telepítésre, amelynek feladata a következő szintű rakományok szállítása és végrehajtása. A támadók valószínű célja egy végső ransomware rakomány telepítése a feltört eszközre, és az érintett áldozatok pénzért való kizsarolása.
A fenyegetés részleteit a Proofpoint beszámolója tárta a nyilvánosság elé. A kutatók szerint a Bumblebee kártevő kitölthette azt az űrt, amelyet egy korábban azonosított, BazaLoader néven ismert betöltő fenyegetés hagyott hátra. A Bumblebee rosszindulatú programokat használó csoportok feltehetően kezdeti hozzáférési közvetítőkként (IAB) működnek. Az ilyen kiberbűnözéssel foglalkozó szervezetek a vállalati célpontokba való beszivárgásra koncentrálnak, majd a bejáratott hátsó ajtón való hozzáférést eladják más kiberbűnözőknek a sötét weben.
Fenyegető képességek
A Bumblebee a kidolgozott kijátszási technikák széles skáláját mutatja be, bár a fenyegetés még mindig aktív fejlesztés alatt áll. A rosszindulatú program ellenőrzi a sandbox környezeteket vagy a virtualizáció jeleit. Ezenkívül titkosítja a kommunikációt a támadási műveletek Command-and-Control (C2, C&C) infrastruktúrájával. A Bumblebee a feltört eszközön futó folyamatokat is átvizsgálja, keresve egy hardcoded listából vett általános rosszindulatú programelemző eszközöket.
A fenyegetés másik megkülönböztető jellemzője, hogy nem ugyanazt a folyamatürítési vagy DLL-befecskendezési technikát alkalmazza, amely gyakran megfigyelhető hasonló fenyegetéseknél. Ehelyett a Bumblebee egy APC (aszinkron eljáráshívás) injekciót használ, amely lehetővé teszi számára, hogy kezdeményezze a shellkódot a C2 szervere által küldött bejövő parancsokból. A fenyegetés által a megcélzott gépeken végrehajtott első lépések közé tartozik a rendszerinformációk összegyűjtése és az „ügyfélazonosító” generálása.
Ezt követően a Bumblebee megpróbál kapcsolatot létesíteni a C2 szerverekkel az egyszerű szövegben tárolt kapcsolódó cím elérésével. A fenyegetés kutatók által elemzett verziói több parancsot is felismerhettek, beleértve a shellcode-befecskendezést, a DLL-befecskendezést, a perzisztencia-mechanizmus elindítását, a következő fázisú rakomány végrehajtható fájljainak lekérését és az eltávolítási opciót.
