มัลแวร์ Bumblebee
มัลแวร์ตัวโหลดที่มีความซับซ้อนใหม่ได้รับการระบุว่าเป็นส่วนหนึ่งของการดำเนินการคุกคามที่แยกจากกันอย่างน้อยสามรายการ ชื่อมัลแวร์ Bumblebee ภัยคุกคามนี้ถูกนำไปใช้เป็นมัลแวร์ระยะเริ่มต้นซึ่งมีหน้าที่ในการส่งมอบและดำเนินการเพย์โหลดขั้นต่อไป เป้าหมายที่เป็นไปได้ของผู้โจมตีคือการปรับใช้เพย์โหลดแรนซัมแวร์ขั้นสุดท้ายไปยังอุปกรณ์ที่ถูกเจาะและการกรรโชกเหยื่อที่ได้รับผลกระทบเพื่อแลกกับเงิน
รายละเอียดเกี่ยวกับการคุกคามถูกเปิดเผยต่อสาธารณะในรายงานโดย Proofpoint ตามที่นักวิจัย มัลแวร์ Bumblebee อาจเติมช่องว่างที่เหลือโดยภัยคุกคามตัวโหลดที่ระบุก่อนหน้านี้ที่เรียกว่า BazaLoader กลุ่มที่ใช้มัลแวร์ Bumblebee เชื่อว่าทำหน้าที่เป็นนายหน้าเข้าถึงเบื้องต้น (IABs) องค์กรอาชญากรรมทางอินเทอร์เน็ตดังกล่าวมุ่งเน้นไปที่การแทรกซึมเป้าหมายขององค์กรแล้วขายการเข้าถึงลับๆ ให้กับอาชญากรไซเบอร์รายอื่นบน Dark Web
ความสามารถในการคุกคาม
Bumblebee สาธิตเทคนิคการหลบเลี่ยงอย่างละเอียดถี่ถ้วน ถึงแม้ว่าภัยคุกคามจะยังถือว่าอยู่ภายใต้การพัฒนาอย่างแข็งขัน มัลแวร์ดำเนินการตรวจสอบสภาพแวดล้อมแบบแซนด์บ็อกซ์หรือสัญญาณของการจำลองเสมือน นอกจากนี้ยังเข้ารหัสการสื่อสารด้วยโครงสร้างพื้นฐาน Command-and-Control (C2, C&C) ของการดำเนินการโจมตี Bumblebee ยังสแกนกระบวนการทำงานบนอุปกรณ์ที่ถูกเจาะเพื่อค้นหาเครื่องมือวิเคราะห์มัลแวร์ทั่วไปที่นำมาจากรายการฮาร์ดโค้ด
ลักษณะเด่นอีกประการหนึ่งของภัยคุกคามคือไม่ใช้กระบวนการกลวงหรือเทคนิคการฉีด DLL แบบเดียวกันซึ่งมักพบในภัยคุกคามที่คล้ายคลึงกัน แทน, Bumblebee ใช้การฉีด APC (การเรียกโพรซีเดอร์แบบอะซิงโครนัส) ซึ่งช่วยให้สามารถเริ่มต้นเชลล์โค้ดจากคำสั่งขาเข้าที่ส่งโดยเซิร์ฟเวอร์ C2 การดำเนินการแรกที่ดำเนินการโดยภัยคุกคามเมื่อนำไปใช้กับเครื่องเป้าหมายนั้นรวมถึงการรวบรวมข้อมูลระบบและการสร้าง 'Client ID'
หลังจากนั้น Bumblebee จะพยายามติดต่อกับเซิร์ฟเวอร์ C2 โดยเข้าถึงที่อยู่ที่เกี่ยวข้องซึ่งจัดเก็บไว้ในข้อความธรรมดา เวอร์ชันของภัยคุกคามที่วิเคราะห์โดยนักวิจัยสามารถจดจำคำสั่งต่างๆ ได้ รวมถึงการฉีดเชลล์โค้ด, การฉีด DLL, การเริ่มต้นกลไกการคงอยู่, การดึงข้อมูลปฏิบัติการของเพย์โหลดขั้นต่อไป และตัวเลือกการถอนการติดตั้ง
