Čmeliakový malvér

Nový sofistikovaný zavádzací malvér bol identifikovaný ako súčasť najmenej troch samostatných ohrozujúcich operácií. Hrozba s názvom Bumblebee malvér je nasadená ako malvér v počiatočnej fáze, ktorého úlohou je doručiť a spustiť užitočné zaťaženie v ďalšej fáze. Pravdepodobným cieľom útočníkov je nasadenie konečného ransomvéru na napadnuté zariadenie a vymáhanie peňazí od postihnutých obetí.

Podrobnosti o hrozbe odhalila verejnosť v správe spoločnosti Proofpoint. Podľa výskumníkov malvér Bumblebee mohol vyplniť medzeru, ktorú zanechala predtým identifikovaná hrozba nakladača známa ako BazaLoader. Predpokladá sa, že skupiny, ktoré využívajú malvér Bumblebee, konajú ako sprostredkovatelia počiatočného prístupu (IAB). Takéto organizácie zaoberajúce sa kyberzločinom sa zameriavajú na infiltráciu podnikových cieľov a následne predaj zavedeného zadného prístupu iným kyberzločincom na temnom webe.

Ohrozujúce schopnosti

Bumblebee demonštruje rozsiahlu škálu prepracovaných únikových techník, aj keď sa hrozba stále považuje za aktívnu vo vývoji. Malvér kontroluje prostredia karantény alebo známky virtualizácie. Tiež šifruje svoju komunikáciu s infraštruktúrou Command-and-Control (C2, C&C) útočných operácií. Bumblebee tiež skenuje bežiace procesy na poškodenom zariadení a hľadá bežné nástroje na analýzu škodlivého softvéru prevzaté z pevne zakódovaného zoznamu.

Ďalšou charakteristickou črtou hrozby je, že nepoužíva rovnaké techniky dutého procesu alebo vstrekovania DLL, ktoré sa často vyskytujú pri podobných hrozbách. Namiesto toho Bumblebee využíva injekciu APC (asynchrónne volanie procedúry), ktorá mu umožňuje iniciovať shell kód z prichádzajúcich príkazov odoslaných jeho serverom C2. Medzi prvé akcie, ktoré vykoná hrozba po nasadení na cieľové počítače, patrí zhromaždenie systémových informácií a vygenerovanie 'ID klienta'.

Potom sa Bumblebee pokúsi nadviazať kontakt so servermi C2 prístupom na pridruženú adresu uloženú v otvorenom texte. Verzie hrozby analyzované výskumníkmi dokázali rozpoznať niekoľko príkazov, vrátane injekcie shell kódu, injekcie DLL, spustenia mechanizmu pretrvávania, načítania spustiteľných súborov ďalšej fázy užitočného zaťaženia a možnosti odinštalovania.