您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
“終局行動”查封后,Bumblebee惡意軟件卷土重來
Bumblebee惡意軟件加載程序在最近的攻擊中被發(fā)現(xiàn)。今年5月歐洲刑警組織“終局行動”曾查封該軟件。
據(jù)了解,Bumblebee大黃蜂惡意軟件由TrickBot開發(fā)人員創(chuàng)造, 2022年出現(xiàn),作為BazarLoader后門程序的替代品,為勒索軟件威脅行為者提供對入侵網(wǎng)絡(luò)的訪問權(quán)限。
“終局行動”曾被查封
Bumblebee通常通過網(wǎng)絡(luò)釣魚、惡意廣告和SEO中毒來實(shí)現(xiàn)感染 ,這些軟件推廣了各種軟件(例如Zooom、Cisco AnyConnect、ChatGPT和Citrix Workspace)。
Bumblebee提供的有效載荷包括Cobalt Strike信標(biāo)、信息竊取惡意軟件和各種勒索軟件菌株。
今年5月,國際執(zhí)法行動“終局行動”(Operation Endgame)查獲100多款支持多種惡意軟件加載程序操作的服務(wù)器,包括IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader和SystemBC。
從那以后,Bumblebee就消失了。然而,網(wǎng)絡(luò)安全公司Netskope的研究人員發(fā)現(xiàn)與該惡意軟件相關(guān)的新活動,這表明它可能卷土重來。
最新的Bumblebee攻擊鏈
最新的Bumblebee攻擊鏈從一封網(wǎng)絡(luò)釣魚電子郵件開始,引誘受害者下載惡意ZIP檔案。
壓縮文件包含一個名為Report-41952.lnk的LNK快捷方式,可觸發(fā)PowerShell從遠(yuǎn)程服務(wù)器下載一個偽裝成合法NVIDIA驅(qū)動程序更新或Midjourney安裝程序的惡意MSI文件(y.msi)。
假冒的Midjourney和NVIDIA安裝程序
資料來源:Netskope
然后,使用帶有/qn選項的msiexec.exe以靜默方式執(zhí)行MSI文件,這可確保進(jìn)程在沒有任何用戶交互的情況下運(yùn)行。
為避免創(chuàng)建新進(jìn)程,惡意軟件使用MSI結(jié)構(gòu)中的SelfReg表,該表指示msiexec.exe將DLL加載到自己的地址空間并調(diào),并調(diào)用其DllRegisterServer函數(shù)。
加載并執(zhí)行DLL后,惡意軟件解壓,Bumblebee在內(nèi)存中部署。
msiexec進(jìn)程內(nèi)存中映射的最終有效負(fù)載
資料來源:Netskope
Netskope評論,Bumblebee有效負(fù)載帶有其標(biāo)志性的內(nèi)部DLL和導(dǎo)出的函數(shù)命名方案,以及過去變體中觀察到的配置提取機(jī)制。
在最近的攻擊中,用于解密其配置的RC4密鑰使用“NEW_BLACK”字符串,同時有兩個活動ID,分別為“msi”和“l(fā)nk001”。
最近負(fù)載中的“NEW_BLACK”字符串
資料來源:Netskope
Netskope沒有提供有關(guān)Bumblebee投放有效載荷或活動規(guī)模的信息,但該報告是對卷土重來早期跡象的警告。
來源:E安全