“终局行动”查封后,Bumblebee恶意软件卷土重来
Bumblebee恶意软件加载程序在最近的攻击中被发现。今年5月欧洲刑警组织“终局行动”曾查封该软件。
E安全了解,Bumblebee大黄蜂恶意软件由TrickBot开发人员创造, 2022年出现,作为BazarLoader后门程序的替代品,为勒索软件威胁行为者提供对入侵网络的访问权限。
“终局行动”曾被查封
Bumblebee通常通过网络钓鱼、恶意广告和SEO中毒来实现感染 ,这些软件推广了各种软件(例如Zooom、Cisco AnyConnect、ChatGPT和Citrix Workspace)。
Bumblebee提供的有效载荷包括Cobalt Strike信标、信息窃取恶意软件和各种勒索软件菌株。
今年5月,国际执法行动“终局行动”(Operation Endgame)查获100多款支持多种恶意软件加载程序操作的服务器,包括IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader和SystemBC。
从那以后,Bumblebee就消失了。然而,网络安全公司Netskope的研究人员发现与该恶意软件相关的新活动,这表明它可能卷土重来。
最新的Bumblebee攻击链
最新的Bumblebee攻击链从一封网络钓鱼电子邮件开始,引诱受害者下载恶意ZIP档案。
压缩文件包含一个名为Report-41952.lnk的LNK快捷方式,可触发PowerShell从远程服务器下载一个伪装成合法NVIDIA驱动程序更新或Midjourney安装程序的恶意MSI文件(y.msi)。
假冒的Midjourney和NVIDIA安装程序
资料来源:Netskope
然后,使用带有/qn选项的msiexec.exe以静默方式执行MSI文件,这可确保进程在没有任何用户交互的情况下运行。
为避免创建新进程,恶意软件使用MSI结构中的SelfReg表,该表指示msiexec.exe将DLL加载到自己的地址空间并调,并调用其DllRegisterServer函数。
加载并执行DLL后,恶意软件解压,Bumblebee在内存中部署。
msiexec进程内存中映射的最终有效负载
资料来源:Netskope
Netskope评论,Bumblebee有效负载带有其标志性的内部DLL和导出的函数命名方案,以及过去变体中观察到的配置提取机制。
在最近的攻击中,用于解密其配置的RC4密钥使用“NEW_BLACK”字符串,同时有两个活动ID,分别为“msi”和“lnk001”。
最近负载中的“NEW_BLACK”字符串
资料来源:Netskope
Netskope没有提供有关Bumblebee投放有效载荷或活动规模的信息,但该报告是对卷土重来早期迹象的警告。
2024.10.22
针对乌克兰、波兰,UAT-5647黑客加速部署RomCom恶意软件
2024.10.21
美国新规,管控向中国、俄罗斯等六个敌对国家传输数据
2024.10.23
注:本文由E安全编译报道,转载请联系授权并注明来源。