Bumblebee er navnet på en ny malware-downloader, der bruges af flere trusselsaktører, der tidligere har leveret BazaLoader og IcedID. Med andre ord, disse trusselsaktører har erstattet de to malware-stykker med den nyere Bumblebee. BazaLoader, især, er ikke blevet observeret i aktive kampagner siden februar 2022, Proofpoint-forskere sagde.
Hvad er Bumblebee Malware Downloader?
Den allerførste ting at bemærke er, at Bumblebee malware stadig er i en udviklingsfase.
Det er en downloader kodet i C++. Med hensyn til dens tekniske specifikationer, den oprindelige Bumblebee DLL-prøve analyseret af forskerne indeholder to eksporter, hvoraf en direkte starter tråden til Bumblebee-hovedfunktionen. Den anden er designet til at føre til den samme hovedfunktion, men det tilføjer også kontrol for at se, om kroge er blevet placeret i vigtige dynamiske linkbiblioteker (DLL).
Det meste af Bumblebee er kondenseret til en enkelt funktion, hvilket gør det anderledes end de fleste malware hvor initialisering, anmodning om afsendelse, og svarhåndtering er opdelt i forskellige funktioner.
Næste, “indlæseren starter med at kopiere over gruppe-id'et, som effektivt bruges som botnet-id. I modsætning til de fleste andre malware, Bumblebee har i øjeblikket sin konfiguration gemt i almindelig tekst, men Proofpoint har mistanke om, at sløring kan blive tilføjet i fremtiden. Med gruppe-id'et kopieret, indlæseren løser adresser for forskellige NTDLL-funktioner, der gør det muligt for den korrekt at udføre injektion senere i indlæsningsprocessen,” forskerne forklarede.
Bumblebee Malware Distribution
Udbredelsen af Bumblebee falder sammen med forsvinden af BazaLoader. BazaLoader blev bredt distribueret sidste år via en ondsindet kampagne, der brugte svigagtige callcentre til at narre brugere til at downloade malwaren til deres maskiner. BazaCall-kampagnen viste sig at være farligere end først antaget. Årsagen til det højere trusselsniveau er det, bortset fra at have bagdørskapaciteter, BazaLoader kunne give fjernangribere "hands-on-keyboard kontrol på en berørt brugers enhed,” gør det muligt for dem at udføre fuld netværkskompromis.
Nu, Bumblebee downloader er her for at erstatte BazaLoader. Trusselsaktørerne bag disse nye kampagner er forbundet med ondsindede nyttelaster forbundet med deraf følgende ransomware-infektioner.
I form af fordeling, ProofPoint sagde, at malwaren bruger malspam-kampagner initieret af mindst tre sporede trusselsaktører ved hjælp af flere leveringsteknikker. “Mens lokker, leveringsteknikker, og filnavne er typisk tilpasset de forskellige trusselsaktører, der distribuerer kampagnerne, Proofpoint observerede flere fællestræk på tværs af kampagner, såsom brugen af ISO-filer, der indeholder genvejsfiler og DLL'er og et fælles DLL-indgangspunkt, der bruges af flere aktører inden for samme uge,”Bemærkede rapporten.
Det faktum, at Bumblebee-malwaren bruges af flere cyberkriminelle, og timingen af dens produktion viser, at trusselslandskabet ændrer sig markant. På grund af de særlige forhold ved malware-kampagnerne, forskerne mener også, at trusselsaktørerne bag operationerne er indledende adgangsmæglere. Indledende netværksadgang er det, der får ondsindede hackere ind i en organisations netværk. Trusselaktører, der sælger det, skaber en bro mellem opportunistiske kampagner og målrettede angribere. I de fleste tilfælde, disse er ransomware-operatører.
Afslutningsvis, analysen udført af Proofpoint, og det faktum, at malwaren stadig er under udvikling, fremhæver sandsynligheden for, at Bumblebee fortsat vil blive brugt af forskellige trusselsaktører i flere kampagner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: