首页 > 安全 > 正文

Bumblebee,由多个犯罪软件威胁参与者使用的新的恶意软件加载程序

最后更新 :2022.04.28

威胁参与者在其广告系列中用一个名为Bumblebee的新装载机代替了Bazaloader和Icdid恶意软件。

以前使用Bazaloader和IceDID作为其恶意软件的一部分的网络犯罪群体似乎已经采用了新的恶意软件。装载机称为Bumblebee。

装载机似乎正在开发中,是一款高度复杂的恶意软件大黄蜂。该活动与Activity 由Google威胁分析小组的详细介绍重叠,旨在分发Conti和Diavol Ransomware。

BumbleBee实施反虚拟化检查和常见下载功能的独特实现,观察到的掉落功能是,它是观察到的掉落功能。钴罢工,壳码,sliver和meterpreter。 

bumbleBee是一个复杂的恶意软件加载程序,展示了持续开发的证据。它由多个网络犯罪威胁参与者使用。读取ProofPoint发布的分析。基于其在威胁景观中出现的时机和多个网络犯罪群体的使用,大黄蜂很可能是,如果不是直接替代Bazaloader,那么它是一种新的,一种新的多功能工具,该工具由历史上使用其他恶意软件使用。

证明点专家观察到的攻击使用了DocuSign品牌的消息,旨在欺骗接收者下载OneDrive上托管的恶意ISO文件。
Bumblebee attack chain

在专家观察到的一条路径中,威胁参与者发送包含文档超链接的消息,而另一条则利用html附件,其中包含使用交通方向系统(TDS)的URL,以配音为Prometheus  nbsp;潜在vic的时区和饼干蒂姆。

攻击者还试图滥用目标网站上的联系表,并向收件人发送一条声称侵犯图像的消息。该消息包括指向用户下载的登录页面的链接,该链接下载了包含document_stolenimages.lnk和neqw.dll的ISO文件)。

证明点在2022年4月也观察到第二个广告系列,涉及线程 - 杂乱无章广告系列传递的电子邮件似乎是现有的良性电子邮件对话的答复,其中具有恶意zipped ISO附件(doc_invoice_ [number] .zip)。


证明点报告了最新版本中使用的装载机的bumblebee功能的重大更改四月广告系列,例如对多个C2的支持以及在网络通信中增加加密层。
专家认为,使用BumbleBee的威胁参与者可以是从相同接收加载程序的初始访问经纪人威胁行为者。 有关装载机的进一步技术详细信息以及妥协的指标(IOC)。

,请投票赞成安全事务作为最佳欧洲网络安全博客奖。2022年投票给您的获奖者在“弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客以及您选择的其他”部分中为我投票。要提名,请访问:https://docs.google.com/forms/d/e/1faipqlsfxxrximz9qm9iipumqic-iomqic-iom-npqmosfznjxrbqryjgcow/viewgcow/viewform

- END -

看更多