Bumblebee ist der Name eines neuen Malware-Downloaders, der von mehreren Bedrohungsakteuren verwendet wird, die zuvor BazaLoader und bereitgestellt haben IcedID. Mit anderen Worten, Diese Bedrohungsakteure haben die beiden Malware-Teile durch die neuere Bumblebee ersetzt. BazaLoader, insbesondere, wurde seit Februar nicht mehr in aktiven Kampagnen beobachtet 2022, Proofpoint-Forscher sagten.
Was ist der Bumblebee-Malware-Downloader??
Als allererstes ist anzumerken, dass sich die Bumblebee-Malware noch in der Entwicklungsphase befindet.
Es ist ein in C++ codierter Downloader. In Bezug auf seine technischen Spezifikationen, Das erste von den Forschern analysierte Bumblebee-DLL-Beispiel enthält zwei Exporte, einer davon startet direkt den Thread für die Hauptfunktion von Bumblebee. Der andere soll zu derselben Hauptfunktion führen, aber es fügt auch Überprüfungen hinzu, um zu sehen, ob Hooks in wichtigen Dynamic Link Libraries platziert wurden (DLLs).
Der größte Teil von Bumblebee ist in einer einzigen Funktion zusammengefasst, Das unterscheidet es von der meisten Malware, bei der die Initialisierung erfolgt, Senden anfordern, und Response-Handling sind in verschiedene Funktionen aufgeteilt.
Nächster, “Der Loader beginnt mit dem Kopieren der Gruppen-ID, die effektiv als Botnet-Kennung verwendet wird. Im Gegensatz zu den meisten anderen Malware, Bumblebee hat derzeit seine Konfiguration im Klartext gespeichert, aber Proofpoint vermutet, dass Verschleierung in Zukunft hinzugefügt werden könnte. Mit kopierter Gruppen-ID, Der Loader löst Adressen für verschiedene NTDLL-Funktionen auf, die es ihm ermöglichen, die Injektion später im Ladeprozess ordnungsgemäß durchzuführen,” Die Forscher erklärten,.
Verbreitung von Bumblebee-Malware
Die Verbreitung von Bumblebee fällt mit dem Verschwinden von zusammen BazaLoader. BazaLoader wurde letztes Jahr über eine böswillige Kampagne verbreitet, die betrügerische Callcenter nutzte, um Benutzer dazu zu verleiten, die Malware auf ihre Computer herunterzuladen. Die BazaCall-Kampagne erwies sich als gefährlicher als zunächst vermutet. Der Grund für die höhere Bedrohungsstufe ist das, abgesehen von Backdoor-Fähigkeiten, BazaLoader könnte entfernten Angreifern „Hands-on-Keyboard-Steuerung auf dem Gerät eines betroffenen Benutzers“ gewähren,“, sodass sie eine vollständige Netzwerkkompromittierung durchführen können.
Jetzt, Bumblebee Downloader ist hier, um BazaLoader zu ersetzen. Die Bedrohungsakteure hinter diesen neuen Kampagnen werden mit bösartigen Payloads in Verbindung gebracht, die mit anschließenden Ransomware-Infektionen verbunden sind.
In Bezug auf die Verteilung, ProofPoint sagte, dass die Malware verwendet wird Malspam-Kampagnen initiiert von mindestens drei nachverfolgten Bedrohungsakteuren unter Verwendung mehrerer Übermittlungstechniken. „Während lockt, Liefertechniken, und Dateinamen werden in der Regel an die verschiedenen Bedrohungsakteure angepasst, die die Kampagnen verbreiten, Proofpoint beobachtete mehrere Gemeinsamkeiten zwischen den Kampagnen, wie die Verwendung von ISO-Dateien mit Verknüpfungsdateien und DLLs und einem gemeinsamen DLL-Einstiegspunkt, der von mehreren Akteuren innerhalb derselben Woche verwendet wird,”Stellte der Bericht fest.
Die Tatsache, dass die Bumblebee-Malware von mehreren Cyberkriminellen verwendet wird, und der Zeitpunkt ihrer Produktion zeigen, dass sich die Bedrohungslandschaft erheblich verändert. Aufgrund der Besonderheiten der Malware-Kampagnen, Die Forscher glauben auch, dass die Bedrohungsakteure hinter den Operationen Vermittler des Erstzugangs sind. Erster Netzwerkzugriff ist es, was böswillige Hacker in das Netzwerk einer Organisation bringt. Bedrohungsakteure, die sie verkaufen, schaffen eine Brücke zwischen opportunistischen Kampagnen und gezielten Angreifern. Meistens, Dies sind Ransomware-Betreiber.
Abschließend, Die Analyse durchgeführt von Proofpoint, und die Tatsache, dass sich die Malware noch in der Entwicklung befindet, unterstreicht die Wahrscheinlichkeit, dass Bumblebee weiterhin von verschiedenen Bedrohungsakteuren in mehreren Kampagnen eingesetzt wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: