大黃蜂惡意軟件
一種新的複雜加載程序惡意軟件已被確定為至少三個獨立威脅操作的一部分。該威脅被命名為 Bumblebee 惡意軟件,被部署為初始階段的惡意軟件,其任務是交付和執行下一階段的有效載荷。攻擊者的可能目標是將最終的勒索軟件有效載荷部署到被破壞的設備上,並勒索受影響的受害者以獲取金錢。
Proofpoint 在一份報告中向公眾披露了有關威脅的詳細信息。根據研究人員的說法,Bumblebee 惡意軟件可能填補了先前發現的加載程序威脅 BazaLoader 留下的空白。使用 Bumblebee 惡意軟件的組織被認為充當了初始訪問代理 (IAB)。此類網絡犯罪組織專注於滲透企業目標,然後將已建立的後門訪問權出售給暗網上的其他網絡犯罪分子。
威脅能力
大黃蜂展示了廣泛的精心規避技術,儘管威脅仍被認為正在積極發展中。該惡意軟件會檢查沙盒環境或虛擬化跡象。它還加密其與攻擊操作的命令和控制(C2、C&C)基礎設施的通信。 Bumblebee 還掃描被破壞設備上正在運行的進程,以查找從硬編碼列表中獲取的常見惡意軟件分析工具。
該威脅的另一個顯著特徵是它不使用在類似威脅中經常觀察到的相同的進程空心化或 DLL 注入技術。相反,Bumblebee 使用 APC(異步過程調用)注入,它允許它從其 C2 服務器發送的傳入命令啟動 shellcode。一旦部署在目標機器上,威脅採取的第一個行動包括收集系統信息和生成“客戶端 ID”。
之後,Bumblebee 將嘗試通過訪問以明文形式存儲的相關地址來與 C2 服務器建立聯繫。研究人員分析的威脅版本可以識別多個命令,包括 shellcode 注入、DLL 注入、持久性機制的啟動、獲取下一階段有效負載的可執行文件和卸載選項。
