ניתוח חדש של Bumblebee, טוען תוכנות זדוניות מזיק במיוחד שהופיע לראשונה במרץ הקרוב, מראה כי המטען שלו עבור מערכות שהן חלק מרשת ארגונית שונה מאוד מהמטען שלה עבור מערכות עצמאיות.
במערכות שנראות כחלק מתחום - למשל, מערכות שעשויות לחלוק את אותו שרת Active Directory - תוכנת התוכנה הזדונית לשחרר כלים מתוחכמים לאחר ניצול כגון Cobalt Strike. מצד שני, כאשר באמבלבי קובעת שהיא נחתה על מכונה שהיא חלק מקבוצת עבודה - או LAN עמית לעמית - המטען נוטה בדרך כלל להיות גנבי בנקאות ומידע.
תוכנות זדוניות שונות
"למרות שלמיקום הגיאוגרפי של הקורבן לא הייתה השפעה כלשהי על התנהגות התוכנה הזדונית, ראינו הבדל מאוד בולט בין האופן שבו Bumblebee מתנהג לאחר הדבקת מכונות", אמרה צ'ק פוינט בדו"ח השבוע המבוסס על ניתוח אחרון של התוכנה הזדונית.
"אם הקורבן מחובר ל-WORKGROUP, ברוב המקרים הוא מקבל את פקודת ה-DEX (הורד והפעל), מה שגורם לו להפיל ולהריץ קובץ מהדיסק", אמר צ'ק פוינט. עם זאת, אם המערכת מחוברת לתחום AD, התוכנה הזדונית משתמשת בפקודות Download and Inject (DIJ) או Download shellcode and Inject (SHI) כדי להוריד מטענים מתקדמים כגון Cobalt, Strike, Meterpreter ו-Silver.
הניתוח של צ'ק פוינט מוסיף להיקף הגידול של המחקר סביב Bumblebee בחצי השנה לערך מאז שחוקרים צפו לראשונה בתוכנה הזדונית בטבע. התוכנה הזדונית משכה תשומת לב מכמה סיבות. אחד מהם הוא השימוש הנרחב יחסית שלו בקרב קבוצות איומים מרובות. בניתוח של אפריל 2022, חוקרים מ-Proofpoint אמרו שהם צפו לפחות שלוש קבוצות איום מובחנות הפצת Bumblebee כדי לספק מטענים שונים בשלב השני על מערכות נגועות, כולל תוכנות כופר כגון Conti ו-Diavol. קבוצת ניתוח האיומים של גוגל זיהתה את אחד השחקנים שמפיצים את Bumblebee כאחד מתווך גישה ראשונית הם עוקבים אחר "שושן אקזוטית".
Proofpoint וחוקרי אבטחה אחרים תיארו את Bumblebee כמשמשת על ידי שחקני איומים הקשורים בעבר ל-BazaLoader, טוען תוכנות זדוניות פורה שבין היתר התחזה לשירות הזרמת סרטים, אך שנעלם מהמקום בפברואר 2022.
איום מתוחכם ומתפתח ללא הרף
סיבה נוספת לתשומת הלב שמשכה Bumblebee היא מה שאמרו חוקרי אבטחה היא התחכום שלה. הם הצביעו על בדיקות האנטי וירטואליזציה ואנטי ארגז חול, התקשורת המוצפנת שלו ברשת, והיכולת שלו לבדוק תהליכים פועלים לאיתור סימנים לפעילות ניתוח תוכנות זדוניות. בניגוד לכלי תוכנה זדונית רבים אחרים, מחברי Bumblebee השתמשו גם באריזה מותאמת אישית כדי לארוז או להסוות את התוכנה הזדונית בעת הפצתה, אמר צ'ק פוינט.
שחקני איומים השתמשו בטקטיקות שונות כדי לספק את באמבלבי. הנפוץ ביותר היה להטמיע את הקובץ הבינארי דמוי ה-DLL בתוך קבצי ISO או VHD - או תמונת דיסק - ולמסור אותו באמצעות הודעת דיוג או הודעת דיוג. התוכנה הזדונית היא דוגמה לאיום שיש לשחקנים התחילו להשתמש בקבצי מיכל כדי לספק תוכנות זדוניות כעת, כשמיקרוסופט השביתה את ה-Office Macros - וקטור ההדבקה האהוב עליהם הקודם - מלהפעיל כברירת מחדל במערכות Windows.
האבולוציה המתמדת של בומבלס הייתה נקודה נוספת לדאגה. בדו"ח שלה השבוע, צ'ק פוינט ציינה כיצד התוכנה הזדונית הייתה ב"התפתחות מתמדת" במהלך החודשים האחרונים. כדוגמה, ספק האבטחה הצביע על האופן שבו מחבריו עברו לזמן קצר משימוש בקובצי ISO לקבצים בפורמט VHD עם סקריפט PowerShell לפני שחזרו ל-ISO. באופן דומה, עד תחילת יולי, שרתי הפיקוד והבקרה של Bumblebee קיבלו רק קורבן נגוע אחד מאותה כתובת IP של קורבן. "משמעות הדבר היא שאם מספר מחשבים בארגון שניגשים לאינטרנט עם אותו IP ציבורי היו נגועים, שרת C2 יקבל רק את הראשון שנדבק", אמר צ'ק פוינט.
עם זאת, מחברי התוכנה הזדונית כיבו לאחרונה את התכונה הזו, כלומר שרתי C2 של Bumblebee יכולים כעת לתקשר עם מספר מערכות נגועות באותה רשת. צ'ק פוינט שיערה כי מחברי התוכנה הזדונית רק בדקו את התוכנה הזדונית וכעת עברו את השלב הזה.
צ'ק פוינט וספקים אחרים כמו Proofpoint הפכו אינדיקטורים של פשרה לזמינים עבור Bumblebee כדי לעזור לארגונים לזהות ולחסום את האיום בסביבתם.
