Bumblebee kötü amaçlı yazılım yükleyicisinin yeni bir versiyonu, Wild'da, bellek içine bir DLL yükünün gizli yansıtıcı enjeksiyonu için PowerSploit çerçevesini kullanan yeni bir enfeksiyon zinciri içeren tespit edildi.
Bumblebee, Nisan ayında keşfedildi, Bazarloader ve Trickbot'un, yani Conti sendikasının arkasındaki aynı aktörler tarafından düzenlendiğine inanılan kimlik avı kampanyalarında yer aldı.
Bumblebee, gelişmiş anti-analizi ve anti-tespit özelliklerine sahip gelişmiş bir yükleyici olduğundan, ilk uzlaşma saldırılarında, fidye yazılımı dağıtımında Bazarloader gibi diğer yükleyicilerin yerini alacağı varsayılmıştır.
Bumblebee'nin dağıtım oranı sonraki aylarda önemli seviyelere ulaştı, ancak yeni yükleyici sahada asla baskın olmadı.
Cyble tarafından yapılan bir rapora göre, tehdit araştırmacısı Max Malyutin'in bir bulgusuna dayanarak, Bumblebee'nin yazarları yeni bir yürütme akışı kullanarak spam operasyonlarının yaz arasından bir geri dönüş hazırlıyorlar.
Daha önce Bumblebee, bir LNK (yükü yürütmek için) ve bir DLL dosyası (yük) içeren şifre korumalı fermuarlı ISO dosyaları taşıyan e-postalar aracılığıyla kurbanlara ulaşmıştı.
Son saldırıda, Bumblebee, ISO'yu yine bir LNK kısayol dosyası (alıntı) içeren bir VHD (Sanal Sabit Disk) dosyasıyla değiştirdi.
Bumblebee (DLL) doğrudan yürütmek yerine, LNK artık bir PowerShell penceresini başlatan ve 'Showwindow' komutunu kötüye kullanarak kullanıcıdan gizleyen "ImageData.ps1" i yürütüyor.
SP1 komut dosyası, PowerShell yükleyicisinin ikinci aşamasını yüklerken AV algılamasından kaçmak için Base64 ve Dize Birleştirme kullanılarak gizlenir.
İkinci aşama, birinci ile aynı gizlemeye sahiptir ve 64 bit kötü amaçlı yazılımları (LDRADDX64.dll) yansıtıcı enjeksiyon kullanılarak PowerShell işleminin belleğine yüklemek için PowerSploit modülünü içerir.
Raporda, "PowerSploit, DLL'yi PowerShell sürecine yansıtıcı bir şekilde yüklemek için kötü amaçlı yazılım kullandığı, bir yöntem kullandığı, invoke-reftectivePeinjection kullandığı açık kaynaklı bir sömürü sonrası çerçevedir."
"Bu yöntem, gömülü dosyayı doğrular ve dosyanın yürütme sistemine düzgün bir şekilde yüklendiğinden emin olmak için birden fazla kontrol gerçekleştirir."
Yeni yükleme akışı ile, bumblebee bellekten yüklenir ve ana bilgisayarın diskine asla dokunmaz, böylece anti-virüs araçları tarafından tespit edilme ve durdurma şansını en aza indirir.
Bumblebee, gizliliğini artırarak daha güçlü bir başlangıç erişim tehdidi haline gelir ve fidye yazılımlarını ve kötü amaçlı yazılım operatörlerini, yüklerini dağıtmanın yollarını arayan şansını artırır.
Hackerlar James Webb Teleskop görüntülerinde kötü amaçlı yazılımları gizle
Çinli hackerlar yeni Kobalt grev benzeri saldırı çerçevesi kullanıyor
Kuzey Koreli Lazarus Hacker'ları ABD Enerji Sağlayıcılarını hedef alıyor
Lampion kötü amaçlı yazılım, kimlik avı saldırılarına geri döner Wetransfer'ı kötüye kullanıyor
Yeni Linux kötü amaçlı yazılım, çok aşamalı dağıtım kullanarak tespitten kaçınır
Kaynak: Bleeping Computer