Bumblebee Malware
En ny sofistikerad skadlig programvara har identifierats som en del av minst tre separata hotfulla operationer. Hotet, som heter Bumblebee malware, distribueras som skadlig programvara i inledningsskedet med uppgift att leverera och köra nyttolaster i nästa steg. Det sannolika målet för angriparna är att distribuera en sista nyttolast av ransomware till den intrångade enheten och utpressning av de drabbade offren på pengar.
Detaljer om hotet avslöjades för allmänheten i en rapport från Proofpoint. Enligt forskarna kan Bumblebee-skadlig programvara ha fyllt tomrummet efter ett tidigare identifierat loaderhot känt som BazaLoader. Grupperna som använder Bumblebee skadlig kod tros agera som initial access brokers (IAB). Sådana cyberbrottsorganisationer är fokuserade på att infiltrera företagsmål och sedan sälja den etablerade bakdörrsåtkomsten till andra cyberkriminella på Dark Web.
Hotande förmågor
Bumblebee visar ett omfattande utbud av utarbetade undanflyktstekniker, även om hotet fortfarande anses vara under aktiv utveckling. Skadlig programvara utför kontroller efter sandlådemiljöer eller tecken på virtualisering. Den krypterar också sin kommunikation med Command-and-Control (C2, C&C)-infrastrukturen för attackoperationerna. Bumblebee skannar också de pågående processerna på den skadade enheten efter vanliga verktyg för analys av skadlig programvara hämtade från en hårdkodad lista.
Ett annat utmärkande kännetecken för hotet är att det inte använder samma process ihåliga eller DLL-injektionstekniker som ofta observeras i liknande hot. Istället använder Bumblebee en APC-injektion (asynchronous procedure call) som gör att den kan initiera skalkoden från de inkommande kommandon som skickas av dess C2-server. De första åtgärderna som vidtagits av hotet när det väl har utplacerats på målmaskinerna inkluderar insamling av systeminformation och generering av ett "klient-ID".
Efteråt kommer Bumblebee att försöka etablera kontakt med C2-servrarna genom att komma åt den associerade adressen lagrad i klartext. De versioner av hotet som analyserats av forskare kunde känna igen flera kommandon, inklusive shellcode-injektion, DLL-injektion, initiering av en persistensmekanism, hämtning av körbara filer för nästa stegs nyttolast och ett avinstallationsalternativ.
