Bumblebee kötü amaçlı yazılım yükleyicisinin yeni bir sürümü vahşi doğada tespit edildi ve bir DLL yükünün belleğe gizli yansıtıcı enjeksiyonu için PowerSploit çerçevesini kullanan yeni bir bulaşma zinciri içeriyor.
yaban arısı Nisan ayında keşfedildiBazarLoader ve TrickBot, yani Conti sendikasının arkasındaki aynı aktörler tarafından düzenlendiğine inanılan kimlik avı kampanyalarında yer aldı.
Bumblebee, gelişmiş analiz önleme ve algılama önleme özelliklerine sahip gelişmiş bir yükleyici olduğundan, ilk güvenlik açığı saldırılarında ve ardından fidye yazılımı dağıtımında BazarLoader gibi diğer yükleyicilerin yerini alacağı varsayılmıştır.
Bumblebee’nin dağıtım oranı sonraki aylarda kayda değer seviyelere ulaştı, ancak yeni yükleyici hiçbir zaman sahada baskın olmadı.
Cyble tarafından hazırlanan bir rapora göre, tehdit araştırmacısının bir bulgusuna dayanarak Maks MalyutinBumblebee’nin yazarları, yeni bir yürütme akışı kullanarak spam operasyonlarının yaz döneminden bir geri dönüş hazırlıyor.
Bellekten yürütme
Daha önce Bumblebee, bir LNK (yükü yürütmek için) ve bir DLL dosyası (yükü) içeren parola korumalı sıkıştırılmış ISO dosyalarını taşıyan e-postalar aracılığıyla kurbanlara ulaştı.
Son saldırıda Bumblebee, ISO’yu yine bir LNK kısayol dosyası (Alıntı) içeren bir VHD (Sanal Sabit Disk) dosyasıyla değiştirdi.
Bumblebee’yi (DLL) doğrudan yürütmek yerine, LNK artık bir PowerShell penceresi başlatan ve ‘ShowWindow’ komutunu kötüye kullanarak kullanıcıdan gizleyen “imagedata.ps1” dosyasını yürütür.
SP1 betiği, PowerShell yükleyicinin ikinci aşaması yüklenirken AV algılamasından kaçınmak için Base64 ve dize birleştirme kullanılarak karartılır.
İkinci aşama, birinciyle aynı şaşırtmacaya sahiptir ve şunları içerir: PowerSploit modülü 64 bit kötü amaçlı yazılımı (LdrAddx64.dll) yansıtıcı enjeksiyon kullanarak PowerShell işleminin belleğine yüklemek için.
“PowerSploit, kötü amaçlı yazılımın DLL’yi PowerShell Sürecine yansıtıcı bir şekilde yüklemek için Invoke-ReflectivePEInjection yöntemini kullandığı açık kaynaklı bir sömürü sonrası çerçevedir.” Raporda Cyble’ı açıklıyor.
“Bu yöntem, gömülü dosyayı doğrular ve dosyanın yürütme sistemine düzgün şekilde yüklendiğinden emin olmak için birden çok kontrol gerçekleştirir.”
Yeni yükleme akışıyla, Bumblebee bellekten yüklenir ve ana bilgisayarın diskine asla dokunmaz, böylece virüsten koruma araçları tarafından algılanma ve durdurulma şansını en aza indirir.
Bumblebee, gizliliğini artırarak daha güçlü bir ilk erişim tehdidi haline gelir ve yüklerini dağıtmanın yollarını arayan fidye yazılımı ve kötü amaçlı yazılım operatörlerini cezbetme şansını artırır.