Hummel-Malware

Im Rahmen von mindestens drei separaten Bedrohungsoperationen wurde eine neue ausgeklügelte Loader-Malware identifiziert. Die Bedrohung mit dem Namen Bumblebee-Malware wird als Malware der Anfangsphase bereitgestellt, die mit der Bereitstellung und Ausführung von Nutzlasten der nächsten Phase beauftragt ist. Das wahrscheinliche Ziel der Angreifer ist es, eine letzte Ransomware-Nutzlast auf dem verletzten Gerät bereitzustellen und die betroffenen Opfer gegen Geld zu erpressen.

Details über die Bedrohung wurden der Öffentlichkeit in einem Bericht von Proofpoint offenbart. Laut den Forschern könnte die Bumblebee-Malware die Lücke gefüllt haben, die von einer zuvor identifizierten Loader-Bedrohung namens BazaLoader hinterlassen wurde. Es wird angenommen, dass die Gruppen, die Bumblebee-Malware verwenden, als Initial-Access-Broker (IABs) fungieren. Solche Cybercrime-Organisationen konzentrieren sich darauf, Unternehmensziele zu infiltrieren und den etablierten Backdoor-Zugang dann an andere Cyberkriminelle im Dark Web zu verkaufen.

Bedrohliche Fähigkeiten

Bumblebee demonstriert eine große Auswahl an ausgeklügelten Umgehungstechniken, obwohl die Bedrohung immer noch als aktiv in der Entwicklung befindlich gilt. Die Malware führt Überprüfungen auf Sandbox-Umgebungen oder Anzeichen von Virtualisierung durch. Es verschlüsselt auch seine Kommunikation mit der Command-and-Control (C2, C&C)-Infrastruktur der Angriffsoperationen. Bumblebee scannt auch die laufenden Prozesse auf dem angegriffenen Gerät nach gängigen Malware-Analysetools aus einer fest codierten Liste.

Ein weiteres Unterscheidungsmerkmal der Bedrohung besteht darin, dass sie nicht die gleichen Prozessaushöhlungs- oder DLL-Injektionstechniken verwendet, die häufig bei ähnlichen Bedrohungen beobachtet werden. Stattdessen verwendet Bumblebee eine APC-Injektion (Asynchronous Procedure Call), die es ihm ermöglicht, den Shellcode aus den eingehenden Befehlen zu initiieren, die von seinem C2-Server gesendet werden. Die ersten Aktionen, die von der Bedrohung durchgeführt werden, nachdem sie auf den Zielcomputern bereitgestellt wurden, umfassen das Sammeln von Systeminformationen und das Generieren einer „Client-ID“.

Anschließend versucht Bumblebee, Kontakt zu den C2-Servern aufzunehmen, indem es auf die zugehörige im Klartext hinterlegte Adresse zugreift. Die von den Forschern analysierten Versionen der Bedrohung konnten mehrere Befehle erkennen, darunter Shellcode-Injektion, DLL-Injektion, Initiierung eines Persistenzmechanismus, Abrufen der ausführbaren Dateien der Nutzdaten der nächsten Stufe und eine Deinstallationsoption.