Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Malware Phần mềm độc hại Bumblebee

Phần mềm độc hại Bumblebee

Đến năm CagedTech năm Malware
Dịch sang:
Tiếng Việt Nam

Một phần mềm độc hại trình tải phức tạp mới đã được xác định là một phần của ít nhất ba hoạt động đe dọa riêng biệt. Được đặt tên là phần mềm độc hại Bumblebee, mối đe dọa được triển khai dưới dạng phần mềm độc hại ở giai đoạn đầu có nhiệm vụ phân phối và thực thi các tải trọng ở giai đoạn tiếp theo. Mục tiêu có thể xảy ra của những kẻ tấn công là triển khai một khối lượng ransomware cuối cùng cho thiết bị bị vi phạm và tống tiền các nạn nhân bị ảnh hưởng để lấy tiền.

Chi tiết về mối đe dọa đã được tiết lộ cho công chúng trong một báo cáo của Proofpoint. Theo các nhà nghiên cứu, phần mềm độc hại Bumblebee có thể đã lấp đầy khoảng trống do một mối đe dọa trình tải đã xác định trước đó có tên BazaLoader. Các nhóm sử dụng phần mềm độc hại Bumblebee được cho là đang hoạt động như những nhà môi giới truy cập ban đầu (IAB). Các tổ chức tội phạm mạng như vậy tập trung vào việc xâm nhập các mục tiêu của công ty và sau đó bán quyền truy cập cửa hậu đã được thiết lập cho các tội phạm mạng khác trên Dark Web.

Khả năng Đe doạ

Bumblebee thể hiện một loạt các kỹ thuật né tránh phức tạp, ngay cả khi mối đe dọa vẫn được coi là đang được phát triển tích cực. Phần mềm độc hại thực hiện kiểm tra môi trường hộp cát hoặc dấu hiệu ảo hóa. Nó cũng mã hóa giao tiếp của nó với cơ sở hạ tầng Command-and-Control (C2, C&C) của các hoạt động tấn công. Bumblebee cũng quét các quy trình đang chạy trên thiết bị bị vi phạm để tìm các công cụ phân tích phần mềm độc hại phổ biến được lấy từ danh sách được mã hóa cứng.

Một đặc điểm phân biệt khác của mối đe dọa là nó không sử dụng cùng một quy trình làm rỗng hoặc kỹ thuật tiêm DLL thường thấy trong các mối đe dọa tương tự. Thay vào đó, Bumblebee sử dụng APC (lệnh gọi thủ tục không đồng bộ), cho phép nó khởi tạo shellcode từ các lệnh đến được gửi bởi máy chủ C2 của nó. Các hành động đầu tiên được thực hiện bởi mối đe dọa sau khi được triển khai trên các máy được nhắm mục tiêu bao gồm thu thập thông tin hệ thống và tạo 'ID ứng dụng khách'.

Sau đó, Bumblebee sẽ cố gắng thiết lập liên hệ với các máy chủ C2 bằng cách truy cập vào địa chỉ được liên kết được lưu trữ trong bản rõ. Các phiên bản của mối đe dọa được các nhà nghiên cứu phân tích có thể nhận ra một số lệnh, bao gồm chèn mã shellcode, đưa vào DLL, bắt đầu cơ chế bền bỉ, tìm nạp các tệp thực thi của trọng tải ở giai đoạn tiếp theo và tùy chọn gỡ cài đặt.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...