Malware Bumblebee
Një malware i ri i sofistikuar ngarkues është identifikuar si pjesë e të paktën tre operacioneve të veçanta kërcënuese. I quajtur malware Bumblebee, kërcënimi është vendosur si një malware i fazës fillestare, i ngarkuar me shpërndarjen dhe ekzekutimin e ngarkesave në fazën tjetër. Qëllimi i mundshëm i sulmuesve është të vendosin një ngarkesë përfundimtare ransomware në pajisjen e shkelur dhe zhvatjen e viktimave të prekura për para.
Detaje rreth kërcënimit u zbuluan për publikun në një raport të Proofpoint. Sipas studiuesve, malware Bumblebee mund të ketë mbushur boshllëkun e lënë nga një kërcënim ngarkues i identifikuar më parë i njohur si BazaLoader. Grupet që përdorin malware Bumblebee besohet se po veprojnë si ndërmjetës të aksesit fillestar (IAB). Organizata të tilla të krimit kibernetik janë të përqendruara në infiltrimin e objektivave të korporatave dhe më pas shitjen e aksesit të vendosur në prapavijë te kriminelët e tjerë kibernetikë në Dark Web.
Aftësitë kërcënuese
Bumblebee demonstron një gamë të gjerë teknikash të përpunuara evazioni, edhe pse kërcënimi konsiderohet ende të jetë në zhvillim aktiv. Malware kryen kontrolle për mjedise sandbox ose shenja të virtualizimit. Ai gjithashtu kodon komunikimin e tij me infrastrukturën Command-and-Control (C2, C&C) të operacioneve të sulmit. Bumblebee skanon gjithashtu proceset e funksionimit në pajisjen e dëmtuar për mjete të zakonshme të analizës së malware të marra nga një listë e koduar.
Një karakteristikë tjetër dalluese e kërcënimit është se ai nuk përdor të njëjtat teknika të zbrazjes së procesit ose të injektimit DLL të vërejtura shpesh në kërcënime të ngjashme. Në vend të kësaj, Bumblebee përdor një injeksion APC (thirrjen e procedurës asinkrone), e cila e lejon atë të inicojë kodin e guaskës nga komandat hyrëse të dërguara nga serveri i tij C2. Veprimet e para të ndërmarra nga kërcënimi pasi të vendoset në makineritë e synuara përfshijnë mbledhjen e informacionit të sistemit dhe gjenerimin e një 'ID-je të klientit'.
Më pas, Bumblebee do të përpiqet të krijojë kontakt me serverët C2 duke hyrë në adresën përkatëse të ruajtur në tekst të thjeshtë. Versionet e kërcënimit të analizuara nga studiuesit mund të njohin disa komanda, duke përfshirë injektimin e kodit të shell, injektimin e DLL, fillimin e një mekanizmi të qëndrueshëm, marrjen e ekzekutuesve të ngarkesës së fazës tjetër dhe një opsion çinstalimi.
