マルハナバチマルウェア

新しい洗練されたローダーマルウェアは、少なくとも3つの別個の脅威操作の一部として識別されています。バンブルビーマルウェアと名付けられたこの脅威は、次の段階のペイロードの配信と実行を任務とする初期段階のマルウェアとして展開されます。攻撃者の予想される目標は、侵害されたデバイスに最終的なランサムウェアペイロードを展開し、影響を受けた被害者を金銭で恐喝することです。

脅威に関する詳細は、Proofpointによるレポートで一般に公開されました。研究者によると、Bumblebeeマルウェアは、BazaLoaderとして知られる以前に特定されたローダーの脅威によって残された空白を埋めた可能性があります。 Bumblebeeマルウェアを利用するグループは、初期アクセスブローカー（IAB）として機能していると考えられています。このようなサイバー犯罪組織は、企業の標的に侵入し、確立されたバックドアアクセスをダークウェブ上の他のサイバー犯罪者に販売することに重点を置いています。

脅迫能力

マルハナバチは、脅威がまだ活発に開発されていると考えられているにもかかわらず、広範囲にわたる精巧な回避技術を示しています。マルウェアは、サンドボックス環境または仮想化の兆候のチェックを実行します。また、攻撃操作のコマンドアンドコントロール（C2、C＆C）インフラストラクチャとの通信を暗号化します。 Bumblebeeはまた、侵害されたデバイスで実行中のプロセスをスキャンして、ハードコードされたリストから取得した一般的なマルウェア分析ツールを探します。

脅威のもう1つの際立った特徴は、同様の脅威でよく見られるのと同じプロセスの空洞化またはDLLインジェクション技術を使用していないことです。代わりに、BumblebeeはAPC（非同期プロシージャコール）インジェクションを利用します。これにより、C2サーバーから送信された着信コマンドからシェルコードを開始できます。標的のマシンに配備された後、脅威がとる最初のアクションには、システム情報の収集と「クライアントID」の生成が含まれます。

その後、Bumblebeeは、プレーンテキストに格納されている関連アドレスにアクセスすることにより、C2サーバーとの接続を確立しようとします。研究者によって分析された脅威のバージョンは、シェルコードインジェクション、DLLインジェクション、永続化メカニズムの開始、次のステージのペイロードの実行可能ファイルのフェッチ、アンインストールオプションなど、いくつかのコマンドを認識できます。