&

您所在的位置：首頁 > 新聞資訊 > 威脅情報 > “終局行動”查封后，Bumblebee惡意軟件卷土重來

“終局行動”查封后，Bumblebee惡意軟件卷土重來

“終局行動”查封后，Bumblebee惡意軟件卷土重來1

Bumblebee惡意軟件加載程序在最近的攻擊中被發(fā)現(xiàn)。今年5月歐洲刑警組織“終局行動”曾查封該軟件。

據(jù)了解，Bumblebee大黃蜂惡意軟件由TrickBot開發(fā)人員創(chuàng)造， 2022年出現(xiàn)，作為BazarLoader后門程序的替代品，為勒索軟件威脅行為者提供對入侵網絡的訪問權限。

“終局行動”曾被查封

Bumblebee通常通過網絡釣魚、惡意廣告和SEO中毒來實現(xiàn)感染，這些軟件推廣了各種軟件（例如Zooom、Cisco AnyConnect、ChatGPT和Citrix Workspace）。

Bumblebee提供的有效載荷包括Cobalt Strike信標、信息竊取惡意軟件和各種勒索軟件菌株。

今年5月，國際執(zhí)法行動“終局行動”（Operation Endgame）查獲100多款支持多種惡意軟件加載程序操作的服務器，包括IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader和SystemBC。

從那以后，Bumblebee就消失了。然而，網絡安全公司Netskope的研究人員發(fā)現(xiàn)與該惡意軟件相關的新活動，這表明它可能卷土重來。

最新的Bumblebee攻擊鏈

最新的Bumblebee攻擊鏈從一封網絡釣魚電子郵件開始，引誘受害者下載惡意ZIP檔案。

壓縮文件包含一個名為Report-41952.lnk的LNK快捷方式，可觸發(fā)PowerShell從遠程服務器下載一個偽裝成合法NVIDIA驅動程序更新或Midjourney安裝程序的惡意MSI文件（y.msi）。

“終局行動”查封后，Bumblebee惡意軟件卷土重來2

假冒的Midjourney和NVIDIA安裝程序

資料來源：Netskope

然后，使用帶有/qn選項的msiexec.exe以靜默方式執(zhí)行MSI文件，這可確保進程在沒有任何用戶交互的情況下運行。

為避免創(chuàng)建新進程，惡意軟件使用MSI結構中的SelfReg表，該表指示msiexec.exe將DLL加載到自己的地址空間并調，并調用其DllRegisterServer函數(shù)。

加載并執(zhí)行DLL后，惡意軟件解壓，Bumblebee在內存中部署。

“終局行動”查封后，Bumblebee惡意軟件卷土重來3

msiexec進程內存中映射的最終有效負載

資料來源：Netskope

Netskope評論，Bumblebee有效負載帶有其標志性的內部DLL和導出的函數(shù)命名方案，以及過去變體中觀察到的配置提取機制。

在最近的攻擊中，用于解密其配置的RC4密鑰使用“NEW_BLACK”字符串，同時有兩個活動ID，分別為“msi”和“l(fā)nk001”。

“終局行動”查封后，Bumblebee惡意軟件卷土重來4

最近負載中的“NEW_BLACK”字符串

資料來源：Netskope

Netskope沒有提供有關Bumblebee投放有效載荷或活動規(guī)模的信息，但該報告是對卷土重來早期跡象的警告。

來源：E安全