Появление Bumblebee в фишинговых кампаниях в марте совпадает с сокращением использования BazarLoader.

Недавно обнаруженный загрузчик вредоносного ПО под названием Bumblebee, вероятно, является последней разработкой синдиката Conti, предназначенной для замены бэкдора BazarLoader. BazarLoader использовался в атаках для доставки полезной нагрузки программ-вымогателей.

По словам исследователя Эли Салема (Eli Salem), появление Bumblebee в фишинговых кампаниях в марте совпадает с сокращением использования BazarLoader для доставки вредоносного ПО для шифрования файлов.

Группировка Exotic Lily начала устанавливать Bumblebee вместо обычного вредоносного ПО BazarLoader для установки Cobalt Strike. Методы развертывания Bumblebee такие же, как для BazarLoader и IcedID, которые использовались в прошлом при установке программ-вымогателей Conti.

Как полагают специалисты компании Proofpoint, Bumblebee — «новый, очень сложный загрузчик вредоносного ПО». Вредоносное ПО ищет несколько инструментов для динамического и статического анализа, пытается обнаружить «любую среду виртуализации», ища их процессы, а также проверяя ключи реестра и пути к файлам.

В основном компоненте загрузчика Bumblebee есть два 32/64-битных DLL-файла под названием RapportGP.dll (название, используемое защитным ПО Trusteers Rapport для защиты конфиденциальных данных).

Загрузчик Bumblebee поддерживает следующие команды:

  • Shi: внедрение shell-кода

  • Dij: внедрение DLL-библиотеки в память других процессов.

  • Dex: скачивание исполняемых файлов.

  • Sdl: удаление загрузчика.

  • Ins: обеспечение персистентности с помощью запланированной задачи для скрипта Visual Basic, который загружает Bumblebee.

Shi: внедрение shell-кода

Dij: внедрение DLL-библиотеки в память других процессов.

Dex: скачивание исполняемых файлов.

Sdl: удаление загрузчика.

Ins: обеспечение персистентности с помощью запланированной задачи для скрипта Visual Basic, который загружает Bumblebee.

Исследователи проанализировали Bumblebee и заметил сходство с вредоносной программой TrickBot в коде, способах доставки и устанавливаемых полезных нагрузках. Хотя нет достаточных свидетельств того, что у Bumblebee и TrickBot один и тот же создатель, разработчик Bumblebee предположительно обладает исходным кодом модуля web-внедрения TrickBot.

Источник: securitylab