Шкідливе програмне забезпечення Bumblebee

Нове складне зловмисне програмне забезпечення-завантажувач було ідентифіковано як частина щонайменше трьох окремих загрозливих операцій. Загроза, названа зловмисним програмним забезпеченням Bumblebee, розгортається як зловмисне програмне забезпечення початкової стадії, якому поставлено завдання доставки та виконання корисних навантажень наступного етапу. Ймовірна мета зловмисників – розгорнути остаточне корисне навантаження на зламаний пристрій і вимагати гроші у постраждалих жертв.

Подробиці загрози були розкриті громадськості в репортажі Proofpoint. За словами дослідників, зловмисне програмне забезпечення Bumblebee могло заповнити порожнечу, залишену раніше ідентифікованою загрозою завантажувача, відомою як BazaLoader. Вважається, що групи, які використовують шкідливе програмне забезпечення Bumblebee, діють як брокери початкового доступу (IAB). Такі кіберзлочинні організації зосереджені на проникненні в корпоративні цілі, а потім на продажі встановленого бекдорного доступу іншим кіберзлочинцям у темній мережі.

Загрозливі можливості

Bumblebee демонструє широкий спектр складних методів ухилення, хоча загроза все ще знаходиться в стадії активного розвитку. Шкідливе програмне забезпечення перевіряє середовища пісочниці або ознаки віртуалізації. Він також шифрує свій зв’язок з інфраструктурою командування та керування (C2, C&C) операцій атаки. Bumblebee також сканує запущені процеси на зламаному пристрої на предмет поширених інструментів аналізу шкідливих програм, узятих із жорстко закодованого списку.

Іншою відмінною характеристикою загрози є те, що вона не використовує ті ж методи, що й поглиблення процесу, чи ін’єкції DLL, які часто спостерігаються в подібних загрозах. Замість цього Bumblebee використовує APC (асинхронний виклик процедури), що дозволяє йому ініціювати шелл-код з вхідних команд, надісланих його сервером C2. Перші дії, які вживає загроза після розгортання на цільових машинах, включають збір системної інформації та створення «ідентифікатора клієнта».

Після цього Bumblebee спробує встановити контакт із серверами C2, звернувшись до пов’язаної адреси, збереженої у відкритому тексті. Проаналізовані дослідниками версії загрози могли розпізнавати кілька команд, включаючи ін’єкцію шелл-коду, ін’єкцію DLL, ініціювання механізму збереження, отримання виконуваних файлів наступного етапу корисного навантаження та опцію видалення.