Hommel Malware
Een nieuwe geavanceerde loader-malware is geïdentificeerd als onderdeel van ten minste drie afzonderlijke bedreigende operaties. De dreiging wordt de Bumblebee-malware genoemd en wordt ingezet als malware in de eerste fase die is belast met de levering en uitvoering van payloads in de volgende fase. Het waarschijnlijke doel van de aanvallers is om een laatste ransomware-lading op het gehackte apparaat te plaatsen en de getroffen slachtoffers voor geld af te persen.
Details over de dreiging werden openbaar gemaakt in een rapport van Proofpoint. Volgens de onderzoekers heeft de Bumblebee-malware mogelijk de leegte opgevuld die is achtergelaten door een eerder geïdentificeerde loader-dreiging die bekend staat als BazaLoader. Er wordt aangenomen dat de groepen die Bumblebee-malware gebruiken, optreden als makelaars voor initiële toegang (IAB's). Dergelijke cybercriminaliteitsorganisaties zijn gericht op het infiltreren van bedrijfsdoelen en verkopen vervolgens de gevestigde achterdeurtoegang aan andere cybercriminelen op het Dark Web.
Dreigende mogelijkheden
Bumblebee demonstreert een uitgebreid scala aan uitgebreide ontwijkingstechnieken, hoewel de dreiging nog steeds wordt beschouwd als een actieve ontwikkeling. De malware controleert op sandbox-omgevingen of tekenen van virtualisatie. Het versleutelt ook zijn communicatie met de Command-and-Control (C2, C&C) infrastructuur van de aanvalsoperaties. Bumblebee scant ook de lopende processen op het gehackte apparaat op veelgebruikte malware-analysetools uit een hardgecodeerde lijst.
Een ander onderscheidend kenmerk van de dreiging is dat het niet dezelfde procesuitholling of DLL-injectietechnieken gebruikt die vaak worden waargenomen bij vergelijkbare dreigingen. In plaats daarvan gebruikt Bumblebee een APC-injectie (asynchrone procedure-aanroep), waarmee het de shellcode kan initiëren op basis van de binnenkomende opdrachten die door zijn C2-server worden verzonden. De eerste acties die door de dreiging worden ondernomen wanneer ze eenmaal op de gerichte machines zijn ingezet, omvatten het verzamelen van systeeminformatie en het genereren van een 'Client ID'.
Daarna zal Bumblebee proberen contact te maken met de C2-servers door toegang te krijgen tot het bijbehorende adres dat in platte tekst is opgeslagen. De door onderzoekers geanalyseerde versies van de dreiging kunnen verschillende commando's herkennen, waaronder shellcode-injectie, DLL-injectie, initiatie van een persistentiemechanisme, het ophalen van de uitvoerbare bestanden van de next-stage payload en een verwijderoptie.
