„Bumblebee“ kenkėjiška programa
Buvo nustatyta, kad nauja sudėtinga įkroviklio kenkėjiška programa yra mažiausiai trijų atskirų grėsmingų operacijų dalis. Pavadinta „Bumblebee“ kenkėjiška programa, grėsmė yra įdiegta kaip pradinės stadijos kenkėjiška programa, kuriai pavesta pristatyti ir vykdyti kito etapo naudingąsias apkrovas. Tikėtinas užpuolikų tikslas yra panaudoti galutinę išpirkos reikalaujančią programinę įrangą į pažeistą įrenginį ir nukentėjusių aukų prievartavimą už pinigus.
Išsami informacija apie grėsmę buvo atskleista visuomenei „Proofpoint“ ataskaitoje. Tyrėjų teigimu, „Bumblebee“ kenkėjiška programa galėjo užpildyti tuštumą, kurią paliko anksčiau identifikuota įkroviklio grėsmė, žinoma kaip „BazaLoader“. Manoma, kad grupės, kurios naudoja kenkėjišką programą „Bumblebee“, veikia kaip pradinės prieigos brokeriai (IAB). Tokios kibernetinių nusikaltimų organizacijos siekia įsiskverbti į įmonių taikinius, o tada parduoti nusistovėjusią prieigą kitiems kibernetiniams nusikaltėliams „Dark Web“.
Grėsmingi pajėgumai
„Bumblebee“ demonstruoja platų sudėtingų vengimo metodų spektrą, nors manoma, kad grėsmė vis dar aktyviai vystoma. Kenkėjiška programa tikrina, ar nėra smėlio dėžės aplinkos arba virtualizacijos požymių. Jis taip pat užšifruoja savo ryšį su atakos operacijų komandų ir valdymo (C2, C&C) infrastruktūra. „Bumblebee“ taip pat nuskaito pažeistame įrenginyje veikiančius procesus ir ieško įprastų kenkėjiškų programų analizės įrankių, paimtų iš užkoduoto sąrašo.
Kita išskirtinė grėsmės savybė yra ta, kad joje nenaudojami tie patys proceso tuščiaviduriai arba DLL įterpimo metodai, dažnai stebimi panašiose grėsmėse. Vietoj to, „Bumblebee“ naudoja APC (asinchroninės procedūros skambučio) injekciją, kuri leidžia inicijuoti apvalkalo kodą iš gaunamų komandų, kurias siunčia jo C2 serveris. Pirmieji veiksmai, kurių imasi grėsmė, kai ji buvo įdiegta tiksliniuose įrenginiuose, apima sistemos informacijos rinkimą ir „kliento ID“ generavimą.
Vėliau „Bumblebee“ bandys užmegzti ryšį su C2 serveriais, pasiekdama susietą adresą, saugomą grynajame tekste. Tyrėjų išanalizuotos grėsmės versijos galėjo atpažinti keletą komandų, įskaitant apvalkalo kodo įvedimą, DLL įpurškimą, išlikimo mechanizmo inicijavimą, kitos pakopos naudingosios apkrovos vykdomųjų failų gavimą ir pašalinimo parinktį.
