被称为 Bumblebee 的恶意软件加载程序越来越多地被与 BazarLoader、TrickBot 和 IcedID 相关的威胁参与者在他们的活动中利用，以破坏目标网络以进行后期利用活动。

Cybereason 研究人员 Meroujan Antonyan 和 Alon Laufer在一篇技术文章中说：“Bumblebee 操作员进行密集的侦察活动，并将执行命令的输出重定向到文件以进行渗透。”

Bumblebee于 2022 年 3 月首次曝光，当时谷歌的威胁分析小组 (TAG) 揭露了一个名为Exotic Lily的初始访问经纪人的活动，该经纪人与TrickBot和更大的Conti集体有联系。

通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付，此后通过避开带有宏的文档来支持 ISO 和 LNK 文件，对作案方式进行了调整，主要是为了响应微软默认阻止宏的决定。

研究人员说：“恶意软件的分发是通过钓鱼电子邮件来完成的，该电子邮件带有附件或指向包含 Bumblebee 的恶意档案的链接。” “初始执行依赖于最终用户执行，它必须提取存档、挂载 ISO 映像文件并单击 Windows 快捷方式 (LNK) 文件。”

LNK 文件就其本身而言，包含启动 Bumblebee 加载程序的命令，然后将其用作下一阶段操作的管道，例如持久性、权限升级、侦察和凭据盗窃。

攻击期间还使用了 Cobalt Strike 对手模拟框架，该框架在获得受感染端点的提升权限后，使威胁参与者能够在网络中横向移动。持久性是通过部署 AnyDesk 远程桌面软件来实现的。

在 Cybereason 分析的事件中，一个高权限用户的被盗凭据随后被用来控制Active Directory，更不用说创建一个本地用户帐户来进行数据泄露。

“从初始访问到 Active Directory 入侵之间的时间不到两天，”这家网络安全公司表示。“涉及 Bumblebee 的攻击必须被视为关键，[...] 并且该加载程序以勒索软件交付而闻名。”

威胁分析报告：Bumblebee Loader – 企业域控制之路

Cybereason全球安全运营中心 (GSOC) 团队发布 Cybereason威胁分析报告，以告知影响威胁。威胁分析报告调查这些威胁并提供实用的建议来防范这些威胁。

在这份威胁分析报告中，Cybereason GSOC 团队分析师分析了一个涉及Bumblebee Loader感染的案例。在此介绍之后，我们详细描述了从最初的 Bumblebee 感染到整个网络危害的攻击链。

博客全文阅读地址：

https://www.cybereason.com/blog/threat-analysis-report-bumblebee-loader-the-high-road-to-enterprise-domain-control

原文始发于微信公众号（网络研究院）：黑客使用 Bumblebee Loader 破坏 Active Directory 服务