Bumblebee Malware

Ang isang bagong sopistikadong loader malware ay natukoy bilang bahagi ng hindi bababa sa tatlong magkakahiwalay na pagbabanta na operasyon. Pinangalanan ang Bumblebee malware, ang banta ay naka-deploy bilang isang paunang yugto ng malware na may tungkulin sa paghahatid at pagpapatupad ng mga susunod na yugto ng mga payload. Ang malamang na layunin ng mga umaatake ay mag-deploy ng panghuling ransomware payload sa nalabag na device at ang pangingikil ng mga apektadong biktima para sa pera.

Ang mga detalye tungkol sa banta ay inihayag sa publiko sa isang ulat ng Proofpoint. Ayon sa mga mananaliksik, ang Bumblebee malware ay maaaring napunan ang walang laman na iniwan ng isang dating natukoy na banta ng loader na kilala bilang BazaLoader. Ang mga pangkat na gumagamit ng Bumblebee malware ay pinaniniwalaang kumikilos bilang mga initial-access broker (IAB). Ang mga nasabing cybercrime na organisasyon ay nakatuon sa paglusot sa mga target ng kumpanya at pagkatapos ay ibenta ang itinatag na backdoor access sa iba pang mga cybercriminal sa Dark Web.

Mga Kakayahang Nagbabanta

Nagpapakita ang Bumblebee ng malawak na hanay ng mga detalyadong diskarte sa pag-iwas, kahit na ang banta ay itinuturing pa ring nasa ilalim ng aktibong pag-unlad. Ang malware ay nagsasagawa ng mga pagsusuri para sa mga kapaligiran ng sandbox o mga palatandaan ng virtualization. Ine-encrypt din nito ang komunikasyon nito sa Command-and-Control (C2, C&C) na imprastraktura ng mga operasyon ng pag-atake. Ini-scan din ng Bumblebee ang mga tumatakbong proseso sa nalabag na device para sa mga karaniwang tool sa pagsusuri ng malware na kinuha mula sa isang hardcoded na listahan.

Ang isa pang natatanging katangian ng banta ay hindi ito gumagamit ng parehong proseso ng hollowing o mga diskarte sa pag-iniksyon ng DLL na madalas na sinusunod sa mga katulad na pagbabanta. Sa halip, gumagamit ang Bumblebee ng APC (asynchronous procedure call) injection, na nagbibigay-daan dito na simulan ang shellcode mula sa mga papasok na command na ipinadala ng C2 server nito. Kasama sa mga unang aksyon na ginawa ng banta kapag na-deploy sa mga naka-target na makina ang pangangalap ng impormasyon ng system at ang pagbuo ng isang 'Client ID.'

Pagkatapos, susubukan ng Bumblebee na makipag-ugnayan sa mga C2 server sa pamamagitan ng pag-access sa nauugnay na address na nakaimbak sa plaintext. Ang mga bersyon ng pagbabanta na sinuri ng mga mananaliksik ay maaaring makilala ang ilang mga command, kabilang ang shellcode injection, DLL injection, pagsisimula ng isang persistence mechanism, pagkuha ng mga executable ng next-stage payload at isang uninstall na opsyon.