لاحظ ممثلو القراصنة سابقًا تقديم BazaLoader و IcedID كجزء من حملات البرامج الضارة الخاصة بهم، ويُقال إنهم قد انتقلوا إلى أداة تحميل جديدة تسمى Bumblebee قيد التطوير النشط.
وقالت شركة Proofpoint الأمنية في تقرير تمت مشاركته مع The Hacker News: "استنادًا إلى توقيت ظهورها في مشهد التهديدات واستخدامها من قبل مجموعات مجرمي الإنترنت المتعددة، فمن المحتمل أن تكون Bumblebee، إن لم تكن بديلاً مباشرًا لـ BazaLoader، فهي أداة جديدة متعددة الوظائف تستخدمها الجهات الفاعلة التي فضلت تاريخيًا برامج ضارة أخرى.''
يقال إن الحملات التي توزع أداة التحميل الجديدة المتطورة للغاية قد بدأت في مارس 2022، مع مشاركة التداخلات مع النشاط الضار الذي أدى إلى نشر برامج الفدية Conti و Diavol، مما يزيد من احتمال أن يكون المحمل بمثابة مقدمة لهجمات برامج الفدية.
قال الباحثون: "الفاعلون المهددون الذين يستخدمون Bumblebee مرتبطون بحمولات البرمجيات الخبيثة التي تم ربطها بمتابعة حملات الفدية".
إلى جانب تقديم فحوصات مكافحة الظاهرية، تمت كتابة Bumblebee بلغة C ++ وتم تصميمها لتكون بمثابة أداة تنزيل لاسترداد وتنفيذ حمولات المرحلة التالية، بما في ذلك Cobalt Strike و Sliver و Meterpreter و shellcode.
ومن المثير للاهتمام، أن الكشف المتزايد عن أداة تحميل البرامج الضارة في مشهد التهديد يتوافق مع اختفاء عمليات نشر BazaLoader منذ فبراير 2022 ، وهو محمل شائع آخر طوره مجموعة TrickBot التي انتهت صلاحيتها الآن ، والتي تم استيعابها منذ ذلك الحين في شركة Conti.
اتخذت سلاسل الهجوم التي توزع Bumblebee شكل إغراءات التصيد الاحتيالي للبريد الإلكتروني التي تحمل علامة DocuSign والتي تتضمن روابط احتيالية أو مرفقات HTM، مما يؤدي بالضحايا المحتملين إلى ملف ISO مضغوط مستضاف على Microsoft OneDrive.
علاوة على ذلك، يستخدم عنوان URL المضمن في مرفق HTML نظام توجيه حركة المرور (TDS) المدعو بروميثيوس - وهو متاح للبيع على منصات تحت الأرض مقابل 250 دولارًا شهريًا - لإعادة توجيه عناوين URL إلى ملفات الأرشيف بناءً على المنطقة الزمنية و ملفات تعريف الارتباط للضحايا.
تشتمل ملفات ZIP ، بدورها ، على ملفات .LNK و. DAT ، مع ملف اختصار Windows الذي يقوم بتنفيذ الملف الأخير الذي يحتوي على Bumblebee downloader، قبل استخدامه لتقديم البرامج الضارة BazaLoader و IcedID.
يعد الانتقال من BazarLoader إلى Bumblebee دليلًا إضافيًا على أن الجهات الفاعلة في التهديد - من المحتمل أن يكون وسطاء الوصول الأوليون الذين يتسللون إلى الأهداف ثم يبيعون هذا الوصول إلى الآخرين - يتلقون البرامج الضارة من مصدر مشترك، بينما يشيرون أيضًا إلى المغادرة بعد أن أصبحت مجموعة أدوات هجوم مجموعة Conti. المعرفة العامة في نفس الوقت تقريبًا.
