Bumblebee Malware
En ny sofistikert loader-skadevare har blitt identifisert som en del av minst tre separate truende operasjoner. Trusselen er kalt Bumblebee-malware, og er distribuert som en skadelig programvare i første fase som har til oppgave å levere og utføre nyttelaster i neste trinn. Det sannsynlige målet for angriperne er å distribuere en siste nyttelast for løsepengevare til den ødelagte enheten og utpressing av de berørte ofrene for penger.
Detaljer om trusselen ble avslørt for offentligheten i en rapport fra Proofpoint. Ifølge forskerne kan Bumblebee malware ha fylt tomrommet etter en tidligere identifisert lastertrussel kjent som BazaLoader. Gruppene som bruker Bumblebee malware antas å fungere som initial-access-meglere (IAB). Slike cyberkriminalitetsorganisasjoner er fokusert på å infiltrere bedriftsmål og deretter selge den etablerte bakdørstilgangen til andre cyberkriminelle på Dark Web.
Truende evner
Bumblebee demonstrerer et omfattende utvalg av forseggjorte unnvikelsesteknikker, selv om trusselen fortsatt anses å være under aktiv utvikling. Skadevaren utfører kontroller for sandkassemiljøer eller tegn på virtualisering. Den krypterer også kommunikasjonen med Command-and-Control (C2, C&C)-infrastrukturen til angrepsoperasjonene. Bumblebee skanner også de kjørende prosessene på den ødelagte enheten for vanlige analyseverktøy for skadelig programvare hentet fra en hardkodet liste.
Et annet karakteristisk kjennetegn ved trusselen er at den ikke bruker samme prosessuthuling eller DLL-injeksjonsteknikker som ofte observeres i lignende trusler. I stedet bruker Bumblebee en APC (asynkron prosedyrekall)-injeksjon, som lar den starte skallkoden fra de innkommende kommandoene sendt av C2-serveren. De første handlingene som ble tatt av trusselen når den først er utplassert på de målrettede maskinene inkluderer innsamling av systeminformasjon og generering av en "klient-ID".
Etterpå vil Bumblebee forsøke å etablere kontakt med C2-serverne ved å få tilgang til den tilknyttede adressen lagret i klartekst. Versjonene av trusselen analysert av forskere kunne gjenkjenne flere kommandoer, inkludert shellcode-injeksjon, DLL-injeksjon, initiering av en utholdenhetsmekanisme, henting av kjørbare filer for neste trinns nyttelast og et avinstalleringsalternativ.
