Μια νέα έκδοση του malware loader Bumblebee εντοπίστηκε ότι χρησιμοποιείται από τους χάκερ, με μια νέα αλυσίδα μόλυνσης που χρησιμοποιεί το framework PowerSploit για κρυφό reflective injection ενός DLL payload στη μνήμη.
Δείτε επίσης: Πως να εγκαταστήσετε το Session Messenger σε Windows;
Το Bumblebee ανακαλύφθηκε τον Απρίλιο, συμμετέχοντας σε εκστρατείες phishing που πιστεύεται ότι ενορχηστρώθηκαν από τους ίδιους χάκερ πίσω από το BazarLoader και το TrickBot, δηλαδή το συνδικάτο Conti.
Καθώς το Bumblebee είναι ένα εξελιγμένο πρόγραμμα loader με προηγμένα χαρακτηριστικά anti-analysis και anti-detection, υποτίθεται ότι θα αντικαταστήσει άλλους loaders, όπως το BazarLoader, σε αρχικές επιθέσεις compromise που ακολουθούνται από ransomware deployment.
Το ποσοστό διανομής της Bumblebee έφτασε σε αξιοσημείωτα επίπεδα τους επόμενους μήνες, ωστόσο ο νέος loader δεν έγινε ποτέ κυρίαρχος στον τομέα.
Σύμφωνα με μια αναφορά της Cyble, βασισμένη σε εύρημα του ερευνητή απειλών Max Malyutin, οι συγγραφείς του Bumblebee ετοιμάζουν μια επιστροφή από το καλοκαιρινό διάλειμμα των λειτουργιών spam, χρησιμοποιώντας ένα νέο execution flow.
Δείτε επίσης: Η ομάδα Lazarus στοχοποιεί τους παρόχους ενέργειας των ΗΠΑ
Εκτέλεση από μνήμης
Προηγουμένως, το Bumblebee επικοινωνούσε με τα θύματα μέσω emails που έφεραν προστατευμένα με κωδικό πρόσβασης συμπιεσμένα αρχεία ISO που περιείχαν ένα LNK (για την εκτέλεση του payload) και ένα αρχείο DLL (το payload).
Στην πρόσφατη επίθεση, το Bumblebee αντικατέστησε το ISO με ένα αρχείο VHD (Virtual Hard Disk), το οποίο, πάλι, περιέχει ένα αρχείο συντόμευσης LNK (Quote).
Αντί να εκτελεί απευθείας το Bumblebee (DLL), το LNK εκτελεί τώρα το “imagedata.ps1”, το οποίο εκκινεί ένα παράθυρο PowerShell και το κρύβει από τον χρήστη κάνοντας κατάχρηση της εντολής “ShowWindow”.
Δείτε επίσης: 8 στα 10 sites διαρρέουν τους “όρους αναζήτησης” των επισκεπτών τους
Η δέσμη ενεργειών SP1 είναι ασαφής χρησιμοποιώντας το Base64 και τη συνένωση των string για να αποφευχθεί η ανίχνευση AV κατά τη φόρτωση του δεύτερου σταδίου του loader PowerShell.
Το δεύτερο στάδιο διαθέτει το ίδιο obfuscation με το πρώτο και περιέχει τη μονάδα PowerSploit για τη φόρτωση του 64-bit malware (LdrAddx64.dll) στη μνήμη της διαδικασίας PowerShell χρησιμοποιώντας reflective injection.
Με το νέο loading flow, το Bumblebee φορτώνει από τη μνήμη και δεν αγγίζει ποτέ το δίσκο του host, ελαχιστοποιώντας έτσι τις πιθανότητες εντοπισμού και διακοπής από εργαλεία anti-virus.
Αυξάνοντας τη μυστικότητά του, το Bumblebee γίνεται πιο ισχυρή απειλή αρχικής πρόσβασης και αυξάνει τις πιθανότητές του να δελεάσει τους χειριστές ransomware και malware που αναζητούν τρόπους ανάπτυξης των payloads τους.
Πηγή πληροφοριών: bleepingcomputer.com
