查看原文
其他

“终局行动”查封后,Bumblebee恶意软件卷土重来

E安全
2024-12-09


Bumblebee恶意软件加载程序在最近的攻击中被发现。今年5月欧洲刑警组织“终局行动”曾查封该软件。 


E安全了解,Bumblebee大黄蜂恶意软件由TrickBot开发人员创造, 2022年出现,作为BazarLoader后门程序的替代品,为勒索软件威胁行为者提供对入侵网络的访问权限。


“终局行动”曾被查封


Bumblebee通常通过网络钓鱼、恶意广告和SEO中毒来实现感染 ,这些软件推广了各种软件(例如Zooom、Cisco AnyConnect、ChatGPT和Citrix Workspace)。


Bumblebee提供的有效载荷包括Cobalt Strike信标、信息窃取恶意软件和各种勒索软件菌株。


今年5月,国际执法行动“终局行动”(Operation Endgame)查获100多款支持多种恶意软件加载程序操作的服务器,包括IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader和SystemBC。


从那以后,Bumblebee就消失了。然而,网络安全公司Netskope的研究人员发现与该恶意软件相关的新活动,这表明它可能卷土重来。


最新的Bumblebee攻击链


最新的Bumblebee攻击链从一封网络钓鱼电子邮件开始,引诱受害者下载恶意ZIP档案。


压缩文件包含一个名为Report-41952.lnk的LNK快捷方式,可触发PowerShell从远程服务器下载一个伪装成合法NVIDIA驱动程序更新或Midjourney安装程序的恶意MSI文件(y.msi)。

假冒的Midjourney和NVIDIA安装程序

资料来源:Netskope


然后,使用带有/qn选项的msiexec.exe以静默方式执行MSI文件,这可确保进程在没有任何用户交互的情况下运行。


为避免创建新进程,恶意软件使用MSI结构中的SelfReg表,该表指示msiexec.exe将DLL加载到自己的地址空间并调,并调用其DllRegisterServer函数。


加载并执行DLL后,恶意软件解压,Bumblebee在内存中部署。

msiexec进程内存中映射的最终有效负载

资料来源:Netskope


Netskope评论,Bumblebee有效负载带有其标志性的内部DLL和导出的函数命名方案,以及过去变体中观察到的配置提取机制。


在最近的攻击中,用于解密其配置的RC4密钥使用“NEW_BLACK”字符串,同时有两个活动ID,分别为“msi”和“lnk001”。

最近负载中的“NEW_BLACK”字符串

资料来源:Netskope


Netskope没有提供有关Bumblebee投放有效载荷或活动规模的信息,但该报告是对卷土重来早期迹象的警告。



精彩推荐黑客公布被盗数据,思科已将DevHub门户网站下线

2024.10.22

针对乌克兰、波兰,UAT-5647黑客加速部署RomCom恶意软件

2024.10.21

美国新规,管控向中国、俄罗斯等六个敌对国家传输数据

2024.10.23


注:本文由E安全编译报道,转载请联系授权并注明来源。

继续滑动看下一个
E安全
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存