Шмель вредоносное ПО

Новая сложная вредоносная программа-загрузчик была идентифицирована как часть как минимум трех отдельных угрожающих операций. Эта угроза, получившая название Bumblebee, развертывается как вредоносное ПО начального этапа, которому поручено доставлять и выполнять полезные нагрузки следующего этапа. Вероятной целью злоумышленников является развертывание последней полезной нагрузки программы-вымогателя на взломанном устройстве и вымогательство денег у пострадавших жертв.

Подробности об угрозе были раскрыты общественности в отчете Proofpoint. По мнению исследователей, вредоносное ПО Bumblebee могло заполнить пустоту, оставленную ранее идентифицированной угрозой-загрузчиком, известной как BazaLoader. Считается, что группы, использующие вредоносное ПО Bumblebee, действуют как брокеры начального доступа (IAB). Такие киберпреступные организации сосредоточены на проникновении в корпоративные цели, а затем на продаже установленного доступа к бэкдору другим киберпреступникам в даркнете.

Угрожающие возможности

Bumblebee демонстрирует широкий спектр сложных методов уклонения, хотя считается, что угроза все еще находится в стадии активной разработки. Вредоносное ПО выполняет проверки на наличие песочницы или признаков виртуализации. Он также шифрует свою связь с инфраструктурой управления и контроля (C2, C&C) операций атаки. Bumblebee также сканирует запущенные процессы на взломанном устройстве на наличие распространенных инструментов анализа вредоносных программ, взятых из жестко заданного списка.

Еще одна отличительная черта этой угрозы заключается в том, что она не использует те же методы очистки процессов или внедрения DLL, которые часто встречаются в подобных угрозах. Вместо этого Bumblebee использует инъекцию APC (асинхронный вызов процедуры), которая позволяет ему инициировать шелл-код из входящих команд, отправленных его сервером C2. Первые действия, предпринимаемые угрозой после развертывания на целевых машинах, включают сбор системной информации и создание «идентификатора клиента».

После этого Bumblebee попытается установить контакт с серверами C2, обратившись к соответствующему адресу, хранящемуся в виде открытого текста. Версии угрозы, проанализированные исследователями, могут распознавать несколько команд, включая внедрение шелл-кода, внедрение DLL, инициирование механизма сохранения, получение исполняемых файлов полезной нагрузки следующего этапа и возможность удаления.