终局行动查封后,Bumblebee恶意软件卷土重来

admin 2024年10月24日10:23:59评论38 views字数 1164阅读3分52秒阅读模式
终局行动查封后,Bumblebee恶意软件卷土重来
终局行动查封后,Bumblebee恶意软件卷土重来

Bumblebee恶意软件加载程序在最近的攻击中被发现。今年5月欧洲刑警组织“终局行动”曾查封该软件。 

E安全了解,Bumblebee大黄蜂恶意软件由TrickBot开发人员创造, 2022年出现,作为BazarLoader后门程序的替代品,为勒索软件威胁行为者提供对入侵网络的访问权限。

“终局行动”曾被查封

Bumblebee通常通过网络钓鱼、恶意广告和SEO中毒来实现感染 ,这些软件推广了各种软件(例如Zooom、Cisco AnyConnect、ChatGPT和Citrix Workspace)。

Bumblebee提供的有效载荷包括Cobalt Strike信标、信息窃取恶意软件和各种勒索软件菌株。

今年5月,国际执法行动“终局行动”(Operation Endgame)查获100多款支持多种恶意软件加载程序操作的服务器,包括IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader和SystemBC。

从那以后,Bumblebee就消失了。然而,网络安全公司Netskope的研究人员发现与该恶意软件相关的新活动,这表明它可能卷土重来。

最新的Bumblebee攻击链

最新的Bumblebee攻击链从一封网络钓鱼电子邮件开始,引诱受害者下载恶意ZIP档案。

压缩文件包含一个名为Report-41952.lnk的LNK快捷方式,可触发PowerShell从远程服务器下载一个伪装成合法NVIDIA驱动程序更新或Midjourney安装程序的恶意MSI文件(y.msi)。

终局行动查封后,Bumblebee恶意软件卷土重来

假冒的Midjourney和NVIDIA安装程序

资料来源:Netskope

然后,使用带有/qn选项的msiexec.exe以静默方式执行MSI文件,这可确保进程在没有任何用户交互的情况下运行。

为避免创建新进程,恶意软件使用MSI结构中的SelfReg表,该表指示msiexec.exe将DLL加载到自己的地址空间并调,并调用其DllRegisterServer函数。

加载并执行DLL后,恶意软件解压,Bumblebee在内存中部署。

终局行动查封后,Bumblebee恶意软件卷土重来

msiexec进程内存中映射的最终有效负载

资料来源:Netskope

Netskope评论,Bumblebee有效负载带有其标志性的内部DLL和导出的函数命名方案,以及过去变体中观察到的配置提取机制。

在最近的攻击中,用于解密其配置的RC4密钥使用“NEW_BLACK”字符串,同时有两个活动ID,分别为“msi”和“lnk001”。

终局行动查封后,Bumblebee恶意软件卷土重来

最近负载中的“NEW_BLACK”字符串

资料来源:Netskope

Netskope没有提供有关Bumblebee投放有效载荷或活动规模的信息,但该报告是对卷土重来早期迹象的警告。

原文始发于微信公众号(E安全):“终局行动”查封后,Bumblebee恶意软件卷土重来

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月24日10:23:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   终局行动查封后,Bumblebee恶意软件卷土重来https://cn-sec.com/archives/3308430.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息