黑客使用 Bumblebee Loader 破坏 Active Directory 服务

admin 2022年8月20日01:50:18安全新闻评论1 views1190字阅读3分58秒阅读模式

黑客使用 Bumblebee Loader 破坏 Active Directory 服务


被称为 Bumblebee 的恶意软件加载程序越来越多地被与 BazarLoader、TrickBot 和 IcedID 相关的威胁参与者在他们的活动中利用,以破坏目标网络以进行后期利用活动。


Cybereason 研究人员 Meroujan Antonyan 和 Alon Laufer在一篇技术文章中说:“Bumblebee 操作员进行密集的侦察活动,并将执行命令的输出重定向到文件以进行渗透。”


Bumblebee于 2022 年 3 月首次曝光,当时谷歌的威胁分析小组 (TAG) 揭露了一个名为Exotic Lily的初始访问经纪人的活动,该经纪人与TrickBot和更大的Conti集体有联系。

黑客使用 Bumblebee Loader 破坏 Active Directory 服务


通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付,此后通过避开带有宏的文档来支持 ISO 和 LNK 文件,对作案方式进行了调整,主要是为了响应微软默认阻止宏的决定。


黑客使用 Bumblebee Loader 破坏 Active Directory 服务


研究人员说:“恶意软件的分发是通过钓鱼电子邮件来完成的,该电子邮件带有附件或指向包含 Bumblebee 的恶意档案的链接。” “初始执行依赖于最终用户执行,它必须提取存档、挂载 ISO 映像文件并单击 Windows 快捷方式 (LNK) 文件。”


LNK 文件就其本身而言,包含启动 Bumblebee 加载程序的命令,然后将其用作下一阶段操作的管道,例如持久性、权限升级、侦察和凭据盗窃。


攻击期间还使用了 Cobalt Strike 对手模拟框架,该框架在获得受感染端点的提升权限后,使威胁参与者能够在网络中横向移动。持久性是通过部署 AnyDesk 远程桌面软件来实现的。


在 Cybereason 分析的事件中,一个高权限用户的被盗凭据随后被用来控制Active Directory,更不用说创建一个本地用户帐户来进行数据泄露。


“从初始访问到 Active Directory 入侵之间的时间不到两天,”这家网络安全公司表示。“涉及 Bumblebee 的攻击必须被视为关键,[...] 并且该加载程序以勒索软件交付而闻名。”


黑客使用 Bumblebee Loader 破坏 Active Directory 服务

威胁分析报告:Bumblebee Loader – 企业域控制之路


Cybereason全球安全运营中心 (GSOC) 团队发布 Cybereason威胁分析报告,以告知影响威胁。威胁分析报告调查这些威胁并提供实用的建议来防范这些威胁。


在这份威胁分析报告中,Cybereason GSOC 团队分析师分析了一个涉及Bumblebee Loader感染的案例。在此介绍之后,我们详细描述了从最初的 Bumblebee 感染到整个网络危害的攻击链。


博客全文阅读地址:

https://www.cybereason.com/blog/threat-analysis-report-bumblebee-loader-the-high-road-to-enterprise-domain-control

原文始发于微信公众号(网络研究院):黑客使用 Bumblebee Loader 破坏 Active Directory 服务

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月20日01:50:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  黑客使用 Bumblebee Loader 破坏 Active Directory 服务 http://cn-sec.com/archives/1243970.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: