Bumblebee is de naam van een nieuwe malware-downloader die wordt gebruikt door meerdere bedreigingsactoren die eerder BazaLoader en IcedID. Met andere woorden, deze bedreigingsactoren hebben de twee malwarestukken vervangen door de nieuwere Bumblebee. BazaLoader, in het bijzonder, is sinds februari niet meer waargenomen in actieve campagnes 2022, Proefpunt-onderzoekers zeiden:.
Wat is de Bumblebee Malware Downloader??
Het allereerste dat opvalt, is dat Bumblebee-malware zich nog in een ontwikkelingsfase bevindt.
Het is een downloader gecodeerd in C++. In termen van zijn technische specificaties, het eerste Bumblebee DLL-monster dat door de onderzoekers is geanalyseerd, bevat twee exporten, waarvan er één direct de draad begint voor de Bumblebee-hoofdfunctie. De andere is ontworpen om tot dezelfde hoofdfunctie te leiden, maar het voegt ook controles toe om te zien of hooks zijn geplaatst in belangrijke dynamische linkbibliotheken (DLL's).
Het grootste deel van Bumblebee is gecondenseerd tot een enkele functie, wat het anders maakt dan de meeste malware waar initialisatie, verzoek verzenden, en responsafhandeling zijn onderverdeeld in verschillende functies.
Volgende, “de lader begint met het kopiëren van de groeps-ID die effectief wordt gebruikt als botnet-ID. In tegenstelling tot de meeste andere malware, Bumblebee heeft momenteel zijn configuratie opgeslagen in platte tekst, maar Proofpoint vermoedt dat verduistering in de toekomst kan worden toegevoegd. Met de groeps-ID gekopieerd, de lader lost adressen op voor verschillende NTDLL-functies waardoor de injectie later in het laadproces correct kan worden uitgevoerd,” de onderzoekers verklaard.
Hommel Malware Distributie
De verspreiding van Bumblebee valt samen met het verdwijnen van BazaLoader. BazaLoader werd vorig jaar op grote schaal verspreid via een kwaadaardige campagne waarbij frauduleuze callcenters werden gebruikt om gebruikers te misleiden om de malware op hun machines te downloaden.. De BazaCall-campagne bleek gevaarlijker dan aanvankelijk werd vermoed. De reden voor het hogere dreigingsniveau is dat:, afgezien van het hebben van backdoor-mogelijkheden, BazaLoader kan aanvallers op afstand "hands-on-keyboard-controle op het apparaat van een getroffen gebruiker" geven,” waardoor ze volledige netwerkcompromissen kunnen uitvoeren.
Nu, Bumblebee downloader is hier om BazaLoader te vervangen. De dreigingsactoren achter deze nieuwe campagnes worden geassocieerd met kwaadaardige payloads die zijn gekoppeld aan de daaruit voortvloeiende ransomware-infecties.
In termen van de distributie, ProofPoint zei dat de malware gebruikt malspam-campagnes geïnitieerd door ten minste drie gevolgde dreigingsactoren met behulp van meerdere leveringstechnieken. "Terwijl lokt", leveringstechnieken, en bestandsnamen zijn doorgaans aangepast aan de verschillende dreigingsactoren die de campagnes verspreiden, Proofpoint constateerde verschillende overeenkomsten tussen campagnes, zoals het gebruik van ISO-bestanden met snelkoppelingsbestanden en DLL's en een gemeenschappelijk DLL-ingangspunt dat door meerdere actoren binnen dezelfde week wordt gebruikt,'Merkte het rapport op.
Het feit dat de Bumblebee-malware door meerdere cybercriminelen wordt gebruikt en de timing van de productie ervan laten zien dat het bedreigingslandschap aanzienlijk verandert. Vanwege de specifieke kenmerken van de malwarecampagnes, de onderzoekers zijn ook van mening dat de dreigingsactoren achter de operaties initiële toegangsmakelaars zijn. Eerste netwerktoegang is wat kwaadwillende hackers binnen het netwerk van een organisatie krijgt. Bedreigingsactoren die het verkopen, slaan een brug tussen opportunistische campagnes en gerichte aanvallers. Meestal, dit zijn ransomware-operators.
Tenslotte, de analyse uitgevoerd door Proofpoint, en het feit dat de malware nog in ontwikkeling is, wijst op de waarschijnlijkheid dat Bumblebee door verschillende dreigingsactoren in meerdere campagnes zal blijven worden gebruikt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: