黑客部署了名为“Bumblebee”的新恶意软件加载程序
研究人员发现了一种在野外使用的新恶意软件加载程序。该工具被称为“Bumblebee”,并与几种不同的网络犯罪组织相关联。
挑选新恶意软件加载程序的团队来自安全公司 Proofpoint。该团队正在跟踪几个“犯罪软件威胁组织”,这些组织以前使用几个不同的加载程序来传播恶意软件,称为“BazaLoader”和“IcedID”。现在看来,使用 BazaLoader 的机构已经完全转向使用 Bumblebee,因为自 2022 年 2 月以来,Proofpoint 没有检测到旧工具的单个实例。
BazaLoader 被 Bumblebee 取代
Proofpoint 的观察结果与 Google Threat Analysis Group 收集的数据重叠。据报道,在 BazaLoader 于 2 月份从在线环境中消失后,它被 Bumblebee 所取代,新装载机在野外首次出现的时间可以追溯到 2022 年 3 月。
研究人员认为 Bumblebee 仍在积极开发中,但尽管如此,装载机已经具备许多高级功能。其中包括躲避虚拟沙箱的高级检查和常用下载器功能的原始变体。
攻击使用恶意存档和 ISO 文件
Bumblebee 被用于恶意电子邮件活动。诱饵包括敦促受害者“查看文件”的链接,声称发票在链接的另一端的电子邮件。另一端的真正内容是磁盘映像 .iso 文件,压缩在存档文件中并托管在 OneDrive 上。
打开 zip 文件会显示其中的 .iso。一旦打开它,它就会在其中显示两个文件。它们都被命名为“附件”。一个是 .lnk 快捷方式文件,另一个是大小刚刚超过 2 兆字节的 .dat 文件。
如果执行快捷方式文件,它会从 .dat 文件加载 Bumblebee 并部署加载程序。
Proofpoint 认为当前使用 Bumblebee 的活动是由使用手柄 TA579 的威胁参与者运行的。
还观察到了其他几个类似的活动,一个使用电子邮件线程劫持,另一个是滥用使用网站上的“联系我们”部分生成的电子邮件。交付方法相似,但再次使用了不同名称的有效负载和快捷方式 .lnk 文件。
根据 Proofpoint 的说法,加载程序可用作获取网络访问权限并提供包括勒索软件在内的二级有效负载的工具。