专家警告称，大黄蜂恶意软件攻击出现新一波浪潮

大黄蜂恶意软件加载器在新的攻击中重新出现，这距离今年5月欧洲刑警组织（Europol）在“终结行动”中打击它已经过去四个月。大黄蜂恶意软件自2022年3月开始活跃，当时被Google威胁分析组（TAG）发现。专家注意到，之前使用BazaLoader和IcedID作为其恶意软件活动一部分的网络犯罪组织转而使用大黄蜂加载器。

根据专家的说法，该恶意软件是由TrickBot组织开发的，并取代了BazaLoader后门，以在勒索软件攻击中提供对受害者基础设施的初始访问。大多数大黄蜂感染是由用户执行LNK文件开始的，这些文件使用系统二进制文件加载恶意软件。恶意软件通过包含大黄蜂的恶意附件或链接的钓鱼信息进行分发。初步执行后，大黄蜂被用于执行后渗透活动，包括权限提升、侦查和凭证窃取。威胁行为者进行了大量的侦查活动，并将执行命令的输出重定向到文件以进行数据外泄。

2024年5月27日至29日，由欧洲刑警组织协调的国际执法行动，代号为“终结行动”，针对IcedID、SystemBC、Pikabot、Smokeloader、大黄蜂和Trickbot等恶意软件传播者进行打击。这些联合行动由荷兰、德国、法国、丹麦、美国和英国的当局执行，并得到欧洲刑警组织和欧洲司法组织的支持。此外，在上述当局的合作下，乌克兰、瑞士、亚美尼亚、葡萄牙、罗马尼亚、加拿大、立陶宛和保加利亚也进行了警察行动，以逮捕或审讯嫌疑人，进行搜查或查封和关闭服务器。这是针对部署勒索软件的机器人网络的最大规模行动。

Netskope研究人员检测到新的涉及大黄蜂加载器的攻击，这是自“终结行动”以来他们首次看到的大黄蜂活动。Netskope检测到的大黄蜂感染可能始于包含名为“Report-41952.lnk”的LNK文件的ZIP文件的钓鱼邮件，一旦执行，即开始攻击链。执行后，它将有效载荷直接下载到内存中。

“一旦打开，LNK文件执行一个PowerShell命令，从远程服务器下载一个MSI文件，将其重命名为“%AppData%y.msi”，然后使用Microsoft msiexec.exe工具执行/安装它。”Netskope发布的报告中写道。“新的大黄蜂有效载荷通过MSI文件传递。分析的样本伪装成Nvidia和Midjourney安装程序。它们用于在内存中加载和执行最终有效载荷，甚至不需要将有效载荷放到磁盘上，这与之前使用ISO文件的活动中观察到的情况一样。”

最新版本的大黄蜂避免创建新进程，而是使用MSI SelfReg表直接执行恶意DLL，而无需生成rundll32或powershell等工具，使其更加隐蔽。

原文始发于微信公众号（黑猫安全）：专家警告称，大黄蜂恶意软件攻击出现新一波浪潮