Hasad Bumblebee
Satu perisian hasad pemuat canggih baharu telah dikenal pasti sebagai sebahagian daripada sekurang-kurangnya tiga operasi mengancam yang berasingan. Dinamakan perisian hasad Bumblebee, ancaman itu digunakan sebagai perisian hasad peringkat awal yang ditugaskan untuk penghantaran dan pelaksanaan muatan peringkat seterusnya. Matlamat penyerang yang mungkin adalah untuk menggunakan muatan perisian tebusan terakhir ke peranti yang dilanggar dan peras ugut mangsa yang terjejas untuk mendapatkan wang.
Butiran mengenai ancaman itu didedahkan kepada umum dalam laporan oleh Proofpoint. Menurut penyelidik, perisian hasad Bumblebee mungkin telah mengisi kekosongan yang ditinggalkan oleh ancaman pemuat yang dikenal pasti sebelum ini dikenali sebagai BazaLoader. Kumpulan yang menggunakan perisian hasad Bumblebee dipercayai bertindak sebagai broker akses awal (IAB). Organisasi jenayah siber sedemikian tertumpu pada penyusupan sasaran korporat dan kemudian menjual akses pintu belakang yang telah ditetapkan kepada penjenayah siber lain di Web Gelap.
Keupayaan Mengancam
Bumblebee menunjukkan rangkaian luas teknik pengelakan yang terperinci, walaupun ancaman itu masih dianggap dalam pembangunan aktif. Malware melakukan pemeriksaan untuk persekitaran kotak pasir atau tanda-tanda virtualisasi. Ia juga menyulitkan komunikasinya dengan infrastruktur Command-and-Control (C2, C&C) bagi operasi serangan. Bumblebee juga mengimbas proses yang sedang berjalan pada peranti yang dilanggar untuk mencari alat analisis perisian hasad biasa yang diambil daripada senarai berkod keras.
Satu lagi ciri yang membezakan ancaman ialah ia tidak menggunakan proses yang sama atau teknik suntikan DLL yang sering diperhatikan dalam ancaman yang sama. Sebaliknya, Bumblebee menggunakan suntikan APC (panggilan prosedur tak segerak), yang membolehkannya memulakan kod shell daripada arahan masuk yang dihantar oleh pelayan C2nya. Tindakan pertama yang diambil oleh ancaman setelah digunakan pada mesin yang disasarkan termasuk pengumpulan maklumat sistem dan penjanaan 'ID Pelanggan.'
Selepas itu, Bumblebee akan cuba menjalin hubungan dengan pelayan C2 dengan mengakses alamat berkaitan yang disimpan dalam teks biasa. Versi ancaman yang dianalisis oleh penyelidik boleh mengecam beberapa arahan, termasuk suntikan kod shell, suntikan DLL, permulaan mekanisme kegigihan, mengambil boleh laku muatan peringkat seterusnya dan pilihan nyahpasang.
