Бумблебее Малваре

Нови софистицирани малвер за учитавање идентификован је као део најмање три одвојене претње операције. Под називом Бумблебее малвер, претња се примењује као малвер у почетној фази који има задатак да испоручи и изврши корисни садржај следеће фазе. Вјероватни циљ нападача је постављање коначног терета рансомваре-а на оштећени уређај и изнуђивање новца од погођених жртава.

Детаљи о претњи откривени су јавности у извештају Проофпоинта. Према истраживачима, малвер Бумблебее је можда попунио празнину коју је оставила претходно идентификована претња учитавача позната као БазаЛоадер. Верује се да групе које користе Бумблебее малвер делују као брокери за почетни приступ (ИАБ). Такве организације за сајбер криминал су фокусиране на инфилтрирање у корпоративне мете, а затим на продају успостављеног бацкдоор приступа другим сајбер криминалцима на Дарк Вебу.

Пријетеће способности

Бумблебее демонстрира широк спектар елаборираних техника избегавања, иако се сматра да је претња још увек у активном развоју. Злонамерни софтвер проверава окружења у заштићеном окружењу или знакове виртуелизације. Такође шифрује своју комуникацију са командном и контролом (Ц2, Ц&Ц) инфраструктуром операција напада. Бумблебее такође скенира покренуте процесе на оштећеном уређају у потрази за уобичајеним алатима за анализу злонамерног софтвера узетим са тврдо кодиране листе.

Још једна карактеристична карактеристика претње је то што не користи исте технике дуплирања процеса или ДЛЛ ињекције које се често примећују код сличних претњи. Уместо тога, Бумблебее користи АПЦ (асинхрони позив процедуре) ињекцију, која му омогућава да покрене схеллцоде из долазних команди које шаље његов Ц2 сервер. Прве радње које предузима претња када се једном примени на циљаним машинама укључују прикупљање системских информација и генерисање „ИД клијента“.

Након тога, Бумблебее ће покушати да успостави контакт са Ц2 серверима тако што ће приступити повезаној адреси сачуваној у отвореном тексту. Верзије претње које су анализирали истраживачи могле су да препознају неколико команди, укључујући ињекцију схеллцоде-а, убризгавање ДЛЛ-а, покретање механизма постојаности, преузимање извршних датотека следеће фазе корисног оптерећења и опцију деинсталирања.