Bumblebee Malware
Un nou malware sofisticat de încărcare a fost identificat ca parte a cel puțin trei operațiuni separate de amenințare. Denumită programul malware Bumblebee, amenințarea este implementată ca un malware inițial însărcinat cu livrarea și execuția sarcinilor utile din etapa următoare. Scopul probabil al atacatorilor este de a implementa o încărcare utilă finală de ransomware pe dispozitivul spart și extorcarea victimelor afectate pentru bani.
Detalii despre amenințare au fost dezvăluite publicului într-un raport al Proofpoint. Potrivit cercetătorilor, este posibil ca malware-ul Bumblebee să fi umplut golul lăsat de o amenințare de încărcare identificată anterior, cunoscută sub numele de BazaLoader. Se crede că grupurile care utilizează malware Bumblebee acționează ca brokeri de acces inițial (IAB). Astfel de organizații de criminalitate cibernetică se concentrează pe infiltrarea țintelor corporative și apoi pe vânzarea accesului din backdoor stabilit altor infractori cibernetici de pe Dark Web.
Capacități de amenințare
Bumblebee demonstrează o gamă extinsă de tehnici de evaziune elaborate, chiar dacă amenințarea este încă considerată a fi în curs de dezvoltare activă. Malware-ul efectuează verificări pentru medii sandbox sau semne de virtualizare. De asemenea, își criptează comunicarea cu infrastructura Command-and-Control (C2, C&C) a operațiunilor de atac. Bumblebee scanează, de asemenea, procesele care rulează pe dispozitivul încălcat pentru instrumente comune de analiză a malware-ului luate dintr-o listă codificată.
O altă caracteristică distinctivă a amenințării este că nu utilizează același proces de golire sau tehnici de injectare DLL observate adesea în amenințări similare. În schimb, Bumblebee utilizează o injecție APC (apel de procedură asincronă), care îi permite să inițieze codul shell de la comenzile primite trimise de serverul său C2. Primele acțiuni întreprinse de amenințare odată implementată pe mașinile vizate includ colectarea de informații despre sistem și generarea unui „ID de client”.
Ulterior, Bumblebee va încerca să stabilească contactul cu serverele C2 accesând adresa asociată stocată în text simplu. Versiunile amenințării analizate de cercetători ar putea recunoaște mai multe comenzi, inclusiv injectarea shellcode, injectarea DLL, inițierea unui mecanism de persistență, preluarea executabilelor încărcăturii utile din etapa următoare și o opțiune de dezinstalare.
