범블비 악성코드

새로운 정교한 로더 악성코드가 최소 3개의 개별 위협 작업의 일부로 식별되었습니다. 범블비(Bumblebee) 악성코드로 명명된 이 위협은 다음 단계 페이로드의 전달 및 실행을 담당하는 초기 단계 악성코드로 배포됩니다. 공격자의 가능한 목표는 침해된 장치에 최종 랜섬웨어 페이로드를 배포하고 피해를 입은 피해자를 금전적으로 갈취하는 것입니다.

위협에 대한 세부 정보는 Proofpoint의 보고서에서 대중에게 공개되었습니다. 연구원에 따르면 Bumblebee 악성 코드는 BazaLoader로 알려진 이전에 식별된 로더 위협이 남긴 공백을 채웠을 수 있습니다. Bumblebee 악성코드를 사용하는 그룹은 초기 액세스 브로커(IAB) 역할을 하는 것으로 여겨집니다. 이러한 사이버 범죄 조직은 기업 목표에 잠입한 다음 다크 웹에서 다른 사이버 범죄자에 대한 백도어 액세스를 판매하는 데 중점을 둡니다.

위협적인 능력

Bumblebee는 위협이 여전히 활발히 개발 중인 것으로 간주되지만 정교한 회피 기술의 광대한 범위를 보여줍니다. 악성코드는 샌드박스 환경이나 가상화 징후를 확인합니다. 또한 공격 작업의 명령 및 제어(C2, C&C) 인프라와의 통신을 암호화합니다. Bumblebee는 또한 하드코딩된 목록에서 가져온 일반적인 맬웨어 분석 도구에 대해 침해된 장치에서 실행 중인 프로세스를 검색합니다.

위협의 또 다른 구별되는 특징은 유사한 위협에서 자주 관찰되는 동일한 프로세스 할로잉 또는 DLL 주입 기술을 사용하지 않는다는 것입니다. 대신 Bumblebee는 APC(비동기 프로시저 호출) 주입을 활용하여 C2 서버에서 보낸 들어오는 명령에서 셸코드를 시작할 수 있습니다. 대상 시스템에 배포된 위협이 수행하는 첫 번째 작업에는 시스템 정보 수집 및 '클라이언트 ID' 생성이 포함됩니다.

그 후 Bumblebee는 일반 텍스트에 저장된 관련 주소에 액세스하여 C2 서버와의 연결을 시도합니다. 연구원이 분석한 위협 버전은 셸코드 삽입, DLL 삽입, 지속성 메커니즘 시작, 다음 단계 페이로드의 실행 파일 가져오기 및 제거 옵션을 포함한 여러 명령을 인식할 수 있습니다.