大黄蜂恶意软件
一种新的复杂加载程序恶意软件已被确定为至少三个独立威胁操作的一部分。该威胁被命名为 Bumblebee 恶意软件,被部署为初始阶段的恶意软件,其任务是交付和执行下一阶段的有效载荷。攻击者的可能目标是将最终的勒索软件有效载荷部署到被破坏的设备上,并勒索受影响的受害者以获取金钱。
Proofpoint 在一份报告中向公众披露了有关威胁的详细信息。根据研究人员的说法,Bumblebee 恶意软件可能填补了先前发现的加载程序威胁 BazaLoader 留下的空白。使用 Bumblebee 恶意软件的组织被认为充当了初始访问代理 (IAB)。此类网络犯罪组织专注于渗透企业目标,然后将已建立的后门访问权出售给暗网上的其他网络犯罪分子。
威胁能力
大黄蜂展示了广泛的精心规避技术,尽管威胁仍被认为正在积极发展中。该恶意软件会检查沙盒环境或虚拟化迹象。它还加密其与攻击操作的命令和控制(C2、C&C)基础设施的通信。 Bumblebee 还扫描被破坏设备上正在运行的进程,以查找从硬编码列表中获取的常见恶意软件分析工具。
该威胁的另一个显着特征是它不使用在类似威胁中经常观察到的相同的进程空心化或 DLL 注入技术。相反,Bumblebee 使用 APC(异步过程调用)注入,它允许它从其 C2 服务器发送的传入命令启动 shellcode。一旦部署在目标机器上,威胁采取的第一个行动包括收集系统信息和生成“客户端 ID”。
之后,Bumblebee 将尝试通过访问以明文形式存储的相关地址来与 C2 服务器建立联系。研究人员分析的威胁版本可以识别多个命令,包括 shellcode 注入、DLL 注入、持久性机制的启动、获取下一阶段有效负载的可执行文件和卸载选项。
