终局行动查封后，Bumblebee恶意软件卷土重来

Bumblebee恶意软件加载程序在最近的攻击中被发现。今年5月欧洲刑警组织“终局行动”曾查封该软件。 

E安全了解，Bumblebee大黄蜂恶意软件由TrickBot开发人员创造， 2022年出现，作为BazarLoader后门程序的替代品，为勒索软件威胁行为者提供对入侵网络的访问权限。

“终局行动”曾被查封

Bumblebee通常通过网络钓鱼、恶意广告和SEO中毒来实现感染 ，这些软件推广了各种软件（例如Zooom、Cisco AnyConnect、ChatGPT和Citrix Workspace）。

Bumblebee提供的有效载荷包括Cobalt Strike信标、信息窃取恶意软件和各种勒索软件菌株。

今年5月，国际执法行动“终局行动”（Operation Endgame）查获100多款支持多种恶意软件加载程序操作的服务器，包括IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader和SystemBC。

从那以后，Bumblebee就消失了。然而，网络安全公司Netskope的研究人员发现与该恶意软件相关的新活动，这表明它可能卷土重来。

最新的Bumblebee攻击链

最新的Bumblebee攻击链从一封网络钓鱼电子邮件开始，引诱受害者下载恶意ZIP档案。

压缩文件包含一个名为Report-41952.lnk的LNK快捷方式，可触发PowerShell从远程服务器下载一个伪装成合法NVIDIA驱动程序更新或Midjourney安装程序的恶意MSI文件（y.msi）。

假冒的Midjourney和NVIDIA安装程序

资料来源：Netskope

然后，使用带有/qn选项的msiexec.exe以静默方式执行MSI文件，这可确保进程在没有任何用户交互的情况下运行。

为避免创建新进程，恶意软件使用MSI结构中的SelfReg表，该表指示msiexec.exe将DLL加载到自己的地址空间并调，并调用其DllRegisterServer函数。

加载并执行DLL后，恶意软件解压，Bumblebee在内存中部署。

msiexec进程内存中映射的最终有效负载

资料来源：Netskope

Netskope评论，Bumblebee有效负载带有其标志性的内部DLL和导出的函数命名方案，以及过去变体中观察到的配置提取机制。

在最近的攻击中，用于解密其配置的RC4密钥使用“NEW_BLACK”字符串，同时有两个活动ID，分别为“msi”和“lnk001”。

最近负载中的“NEW_BLACK”字符串

资料来源：Netskope

Netskope没有提供有关Bumblebee投放有效载荷或活动规模的信息，但该报告是对卷土重来早期迹象的警告。