В дикой природе замечен Bumblebee и к сожалению речь не о трансформере, который защищает человечество от плохих пришельцев, а о новом загрузчике вредоносных программ, используемом далеко не в самых благих намерениях, как вы понимаете.
Кибергруппировки, которые ранее использовали BazaLoader и IcedID в рамках своих кампаний по распространению вредоносных программ, вооружились новой малварью под названием Bumblebee, который сейчас находится в активной разработке.
Как сообщают специалисты из Proofpoint, кампании по распространению нового загрузчика, начались в марте 2022 года, при этом они частично совпадают с действиями банд Conti и Diavol, что вероятно может выступать в качестве предвестника атак программ-вымогателей. Собственно исследователи прямо так и заявили, что «субъекты угроз, использующие Bumblebee, связаны с полезными нагрузками, которые в свою очередь использовались в последующих кампаниях по вымогательству».
Bumblebee написан на C++ и спроектирован так, чтобы действовать как загрузчик для выполнения полезных нагрузок следующего этапа, включая Cobalt Strike, Sliver, Meterpreter и др.
Интересно, что рост числа обнаружений загрузчика в ландшафте угроз соответствует падению числа развертываний BazaLoader с февраля 2022 года, еще одного популярного загрузчика, используемого для доставки программ шифрования файлов и разработанного канувшей в лету бандой TrickBot, которая с тех пор была национализирована Conti.
Вектор атак, распространяющих Bumblebee, реализуется посредством фишинговых приманок электронной почты под брендом DocuSign, включающих вредоносные ссылки или вложения HTML, которые приводили потенциальных жертв к файлу ISO, размещенному на Microsoft OneDrive. Более того, встроенный URL-адрес во вложении HTML использовал систему перенаправления трафика (TDS), известную как Prometheus и доступную для продажи на закрытых хакерских площадках всего за 250 баксов в месяц.
Загрузчик необычен тем, что большая его часть стянута в одну функцию, не смотря на то, что большинство вредоносных программ разбивают инициализацию, отправку запросов и обработку ответов. Кроме того, его конфигурация хранится в виде открытого текста, хотя исследователи Proofpoint предполагают, что в будущем будут использоваться функции обфускации.
Также Bumblebee включает в себя сложные методы, позволяющие избежать обнаружения, и пока находится на активной стадии развития. Так, за последний месяц добавлены такие методы, как проверка против виртуальных машин и песочниц, а совсем недавно добавлен уровень шифрования в собственные процедуры сетевой связи, а также проверки, которые определяют, используются ли инструменты для анализа вредоносных программ в целевой системе или нет.
Малварь довольно сложная и демонстрирует постоянную активную разработку, в которой используются новые методы уклонения от обнаружения. Предполагаем, что очень скоро мы осветим не один incident response с его участием.
Кибергруппировки, которые ранее использовали BazaLoader и IcedID в рамках своих кампаний по распространению вредоносных программ, вооружились новой малварью под названием Bumblebee, который сейчас находится в активной разработке.
Как сообщают специалисты из Proofpoint, кампании по распространению нового загрузчика, начались в марте 2022 года, при этом они частично совпадают с действиями банд Conti и Diavol, что вероятно может выступать в качестве предвестника атак программ-вымогателей. Собственно исследователи прямо так и заявили, что «субъекты угроз, использующие Bumblebee, связаны с полезными нагрузками, которые в свою очередь использовались в последующих кампаниях по вымогательству».
Bumblebee написан на C++ и спроектирован так, чтобы действовать как загрузчик для выполнения полезных нагрузок следующего этапа, включая Cobalt Strike, Sliver, Meterpreter и др.
Интересно, что рост числа обнаружений загрузчика в ландшафте угроз соответствует падению числа развертываний BazaLoader с февраля 2022 года, еще одного популярного загрузчика, используемого для доставки программ шифрования файлов и разработанного канувшей в лету бандой TrickBot, которая с тех пор была национализирована Conti.
Вектор атак, распространяющих Bumblebee, реализуется посредством фишинговых приманок электронной почты под брендом DocuSign, включающих вредоносные ссылки или вложения HTML, которые приводили потенциальных жертв к файлу ISO, размещенному на Microsoft OneDrive. Более того, встроенный URL-адрес во вложении HTML использовал систему перенаправления трафика (TDS), известную как Prometheus и доступную для продажи на закрытых хакерских площадках всего за 250 баксов в месяц.
Загрузчик необычен тем, что большая его часть стянута в одну функцию, не смотря на то, что большинство вредоносных программ разбивают инициализацию, отправку запросов и обработку ответов. Кроме того, его конфигурация хранится в виде открытого текста, хотя исследователи Proofpoint предполагают, что в будущем будут использоваться функции обфускации.
Также Bumblebee включает в себя сложные методы, позволяющие избежать обнаружения, и пока находится на активной стадии развития. Так, за последний месяц добавлены такие методы, как проверка против виртуальных машин и песочниц, а совсем недавно добавлен уровень шифрования в собственные процедуры сетевой связи, а также проверки, которые определяют, используются ли инструменты для анализа вредоносных программ в целевой системе или нет.
Малварь довольно сложная и демонстрирует постоянную активную разработку, в которой используются новые методы уклонения от обнаружения. Предполагаем, что очень скоро мы осветим не один incident response с его участием.