В одних системах вредоносная программа сбрасывает похитителей информации и банковских троянов, а в других - устанавливает сложные инструменты пост-эксплуатации.
Новый анализ вируса «Bumblebee» - особо опасного вредоносного загрузчика, впервые появившегося в марте этого года - показывает, что его полезная нагрузка для систем, являющихся частью корпоративной сети, сильно отличается от полезной нагрузки для автономных систем.
На системах, которые кажутся частью домена – например тех, которые могут использовать один и тот же сервер Active Directory - вредоносная программа запрограммирована на сброс сложных инструментов пост-эксплуатации, таких как Cobalt Strike. С другой стороны, когда Bumblebee определяет, что он попал на машину, которая является частью рабочей группы - или одноранговой локальной сети - полезной нагрузкой, как правило, являются банковские трояны и программы для кражи информации.
Различные вредоносы.
«Хотя географическое положение жертвы не оказывает никакого влияния на поведение вредоносной программы, мы наблюдали разительные отличия между поведением Bumblebee после заражения машин» - сообщается в отчете Check Point, подготовленном на основе анализа вредоносной программы.
«Если жертва подключена к WORKGROUP, то в большинстве случаев она получает команду DEX (Download and Execute), которая заставляет ее сбросить и запустить файл с диска» - заявили в Check Point. «Однако если система подключена к домену AD, вредоносная программа использует команды Download and Inject (DIJ) или Download shellcode and Inject (SHI) для загрузки расширенной полезной нагрузки, такой как Cobalt, Strike, Meterpreter и Silver».
Анализ Check Point дополняет растущий объем исследований вокруг Bumblebee за полгода или около того с тех пор, как исследователи впервые заметили вредоносную программу в интернете. Вредонос привлек к себе внимание по нескольким причинам. Одна из них - относительно широкое распространение среди многочисленных групп угроз. В анализе, проведенном в апреле 2022 года, исследователи из компании Proofpoint сообщили, что они наблюдали как минимум три различные хакерские группы, распространяющие Bumblebee для доставки различных полезных нагрузок второго этапа на зараженные системы, включая шифровальщики Conti и Diavol. Группа анализа угроз Google определила одного из субъектов, распространяющих Bumblebee, как брокера начального доступа, которого они отслеживают как «Exotic Lily».
Компания Proofpoint и другие исследователи безопасности описали Bumblebee как используемый хакерами, ранее связанными с BazaLoader - распространенным загрузчиком вредоносного ПО, который, помимо прочего, маскировался под стриминговый сервис, но исчез со сцены в феврале 2022 года.
Косплексная и постоянно развивающаяся угроза.
Еще одной причиной внимания, которое привлек к себе Bumblebee, является, по словам исследователей безопасности, его крайняя изощренность. Они отмечают его защиту от виртуализации и проверки на наличие «песочниц», шифрование сетевых соединений и способность проверять запущенные процессы на наличие признаков активности систем анализа вредоносного ПО. В отличие от многих других вредоносных программ, авторы Bumblebee также использовали кастомный упаковщик для упаковки или маскировки вредоносного ПО при его распространении, сообщили в Check Point.
Злоумышленники использовали различные тактики для доставки Bumblebee. Наиболее распространенной является встраивание DLL-подобного бинарного файла в ISO или VHD - образ диска - файлы и доставка его через фишинговое письмо. Это является примером как хакеры начали использовать контейнерные файлы для доставки вредоносного ПО после того, как Microsoft отключила макросы Office - прежний любимый вектор заражения - от запуска по умолчанию в системах Windows.
Постоянная эволюция Bumblebee стала еще одним поводом для беспокойства. В своем отчете исследователи Check Point отметили, что вредоносная программа находится в «постоянной эволюции» в течение последних нескольких месяцев. В качестве примера производитель систем безопасности указал на то, как авторы программы ненадолго перешли от использования файлов ISO к файлам формата VHD с помощью скрипта PowerShell, а затем снова вернулись к ISO. Аналогичным образом, до начала июля командно-контрольные серверы Bumblebee принимали только одну зараженную жертву с одного IP-адреса. «Это означает, что если несколько компьютеров в организации, выходящих в интернет с одного и того же публичного IP, были заражены, CnC-сервер примет только первый зараженный» - заявили в Check Point.
Однако недавно авторы вредоноса отключили эту функцию, что означает, что CnC-серверы Bumblebee теперь могут взаимодействовать с несколькими зараженными системами в одной сети. В Check Point предположили, что авторы вредоноса сначала просто тестировали его, а теперь прошли этот этап.
Check Point и другие поставщики услуг безопасности, такие как Proofpoint, предоставили индикаторы компрометации для Bumblebee, чтобы помочь организациям обнаружить и блокировать угрозу в своей среде.
Источник: https://www.darkreading.com