Bumblebee ļaunprātīga programmatūra
Jauna sarežģīta ielādētāja ļaunprogrammatūra ir identificēta kā daļa no vismaz trim atsevišķām draudošām operācijām. Nosaukts par Bumblebee ļaunprātīgu programmatūru, draudi tiek izvietoti kā sākotnējās stadijas ļaunprogrammatūra, kuras uzdevums ir piegādāt un izpildīt nākamās pakāpes kravas. Uzbrucēju iespējamais mērķis ir uzlauztajā ierīcē izvietot pēdējo izspiedējvīrusu lietderīgo slodzi un cietušo upuru izspiešanu par naudu.
Sīkāka informācija par draudiem tika atklāta sabiedrībai Proofpoint ziņojumā. Pēc pētnieku domām, ļaunprātīgā programmatūra Bumblebee, iespējams, ir aizpildījusi tukšumu, ko atstājis iepriekš identificēts iekrāvēja drauds, kas pazīstams kā BazaLoader. Tiek uzskatīts, ka grupas, kas izmanto ļaunprātīgu programmatūru Bumblebee, darbojas kā sākotnējās piekļuves brokeri (IAB). Šādas kibernoziedzības organizācijas koncentrējas uz iefiltrēšanos korporatīvajos mērķos un pēc tam izveidotās aizmugures piekļuves pārdošanu citiem kibernoziedzniekiem Dark Web.
Apdraudošas spējas
Bumblebee demonstrē plašu sarežģītu izvairīšanās paņēmienu klāstu, lai gan tiek uzskatīts, ka draudi joprojām tiek aktīvi izstrādāti. Ļaunprātīga programmatūra pārbauda smilškastes vidi vai virtualizācijas pazīmes. Tas arī šifrē saziņu ar uzbrukuma operāciju komandu un kontroles (C2, C&C) infrastruktūru. Bumblebee arī skenē bojātās ierīces darbības procesus, lai atrastu izplatītus ļaunprātīgas programmatūras analīzes rīkus, kas ņemti no cietā koda saraksta.
Vēl viena apdraudējuma atšķirīgā iezīme ir tā, ka tajā netiek izmantotas tās pašas procesa dobuma vai DLL ievadīšanas metodes, kas bieži tiek novērotas līdzīgos apdraudējumos. Tā vietā Bumblebee izmanto APC (asinhronās procedūras izsaukuma) injekciju, kas ļauj tai iniciēt čaulas kodu no ienākošajām komandām, kuras nosūta C2 serveris. Pirmās darbības, ko veic apdraudējums, tiklīdz tie ir izvietoti mērķa iekārtās, ietver sistēmas informācijas vākšanu un “klienta ID” ģenerēšanu.
Pēc tam Bumblebee mēģinās izveidot kontaktu ar C2 serveriem, piekļūstot saistītajai adresei, kas saglabāta vienkāršā tekstā. Pētnieku analizētās draudu versijas varēja atpazīt vairākas komandas, tostarp čaulas koda ievadīšanu, DLL injekciju, noturības mehānisma ierosināšanu, nākamās pakāpes lietderīgās slodzes izpildāmo failu ienešanu un atinstalēšanas opciju.
