Zlonamerna programska oprema Bumblebee

Nova prefinjena zlonamerna programska oprema za nalaganje je bila ugotovljena kot del vsaj treh ločenih ogrožajočih operacij. Poimenovana zlonamerna programska oprema Bumblebee, je grožnja razporejena kot zlonamerna programska oprema v začetni fazi, ki je zadolžena za dostavo in izvajanje koristnih tovorov naslednje stopnje. Verjetni cilj napadalcev je namestiti končno obremenitev izsiljevalske programske opreme v vlomljeno napravo in izsiliti prizadete žrtve za denar.

Podrobnosti o grožnji so javnosti razkrili v poročilu Proofpointa. Po mnenju raziskovalcev je zlonamerna programska oprema Bumblebee morda zapolnila praznino, ki je nastala zaradi predhodno identificirane grožnje nalagalnika, znane kot BazaLoader. Verjame se, da skupine, ki uporabljajo zlonamerno programsko opremo Bumblebee, delujejo kot posredniki za začetni dostop (IAB). Takšne organizacije za kibernetski kriminal so osredotočene na infiltracijo v korporativne cilje in nato prodajo uveljavljenega dostopa do zakulisja drugim kibernetičnim kriminalcem na temnem spletu.

Nevarne zmogljivosti

Bumblebee dokazuje širok nabor izpopolnjenih tehnik izogibanja, čeprav se grožnja še vedno aktivno razvija. Zlonamerna programska oprema preverja okolja peskovnika ali znake virtualizacije. Prav tako šifrira svojo komunikacijo z infrastrukturo za upravljanje in nadzor (C2, C&C) napadalnih operacij. Bumblebee tudi skenira teče procese na poškodovani napravi za pogosta orodja za analizo zlonamerne programske opreme, vzeta s trdo kodiranega seznama.

Druga značilnost grožnje je, da ne uporablja enakih tehnik vdolbine ali vbrizgavanja DLL, ki jih pogosto opazimo pri podobnih grožnjah. Namesto tega Bumblebee uporablja injekcijo APC (asinhroni klic procedure), ki mu omogoča, da sproži kodo lupine iz dohodnih ukazov, ki jih pošlje njegov strežnik C2. Prva dejanja, ki jih izvede grožnja, ko je enkrat nameščena na ciljnih računalnikih, vključujejo zbiranje sistemskih informacij in ustvarjanje "ID-ja odjemalca".

Nato bo Bumblebee poskušal vzpostaviti stik s strežniki C2 z dostopom do povezanega naslova, shranjenega v golem besedilu. Različice grožnje, ki so jih analizirali raziskovalci, so lahko prepoznale več ukazov, vključno z vbrizgavanjem lupine, vbrizgavanjem DLL, zagonom mehanizma obstojnosti, pridobivanjem izvedljivih datotek naslednje stopnje koristnega tovora in možnostjo odstranitve.