Yaban Arısı Kötü Amaçlı Yazılım
En az üç ayrı tehdit operasyonunun parçası olarak yeni, gelişmiş bir yükleyici kötü amaçlı yazılım tespit edildi. Bumblebee kötü amaçlı yazılımı olarak adlandırılan tehdit, sonraki aşama yüklerinin teslimi ve yürütülmesi ile görevlendirilen ilk aşama kötü amaçlı yazılım olarak dağıtılır. Saldırganların muhtemel amacı, ihlal edilen cihaza son bir fidye yazılımı yükü dağıtmak ve etkilenen kurbanları para karşılığında gasp etmektir.
Tehditle ilgili ayrıntılar, Proofpoint tarafından hazırlanan bir raporda kamuoyuna açıklandı. Araştırmacılara göre, Bumblebee kötü amaçlı yazılımı, BazaLoader olarak bilinen önceden tanımlanmış bir yükleyici tehdidinin bıraktığı boşluğu doldurmuş olabilir. Bumblebee kötü amaçlı yazılımını kullanan grupların ilk erişim aracıları (IAB'ler) olarak hareket ettiğine inanılıyor. Bu tür siber suç örgütleri, kurumsal hedeflere sızmaya ve ardından kurulan arka kapı erişimini Dark Web'deki diğer siber suçlulara satmaya odaklanır.
Tehdit Edici Yetenekler
Bumblebee, tehdidin hala aktif olarak geliştirilme aşamasında olduğu düşünülse de, çok çeşitli ayrıntılı kaçınma teknikleri sergiliyor. Kötü amaçlı yazılım, korumalı alan ortamları veya sanallaştırma belirtileri için kontroller gerçekleştirir. Ayrıca saldırı operasyonlarının Komuta Kontrol (C2, C&C) altyapısı ile iletişimini şifreler. Bumblebee, sabit kodlanmış bir listeden alınan yaygın kötü amaçlı yazılım analiz araçları için ihlal edilen cihazda çalışan süreçleri de tarar.
Tehdidin bir diğer ayırt edici özelliği, benzer tehditlerde sıklıkla gözlemlenen aynı süreç içi boşaltma veya DLL enjeksiyon tekniklerini kullanmamasıdır. Bunun yerine, Bumblebee, C2 sunucusu tarafından gönderilen gelen komutlardan kabuk kodunu başlatmasına izin veren bir APC (eşzamansız prosedür çağrısı) enjeksiyonunu kullanır. Tehdit tarafından hedeflenen makinelere yerleştirildikten sonra gerçekleştirilen ilk eylemler, sistem bilgilerinin toplanmasını ve bir 'Müşteri Kimliği' oluşturulmasını içerir.
Daha sonra, Bumblebee, düz metin olarak saklanan ilişkili adrese erişerek C2 sunucularıyla bağlantı kurmaya çalışacaktır. Araştırmacılar tarafından analiz edilen tehdidin sürümleri, kabuk kodu enjeksiyonu, DLL enjeksiyonu, bir kalıcılık mekanizmasının başlatılması, bir sonraki aşama yükünün yürütülebilir dosyalarının getirilmesi ve bir kaldırma seçeneği dahil olmak üzere çeşitli komutları tanıyabilir.
