黑客部署了名為“Bumblebee”的新惡意軟件加載程序

研究人員發現了一種在野外使用的新惡意軟件加載程序。該工具被稱為“Bumblebee”，並與幾種不同的網絡犯罪組織相關聯。

挑選新惡意軟件加載程序的團隊來自安全公司 Proofpoint。該團隊正在跟踪幾個“犯罪軟件威脅組織”，這些組織以前使用幾個不同的加載程序來傳播惡意軟件，稱為“BazaLoader”和“IcedID”。現在看來，使用 BazaLoader 的機構已經完全轉向使用 Bumblebee，因為自 2022 年 2 月以來，Proofpoint 沒有檢測到舊工具的單個實例。

BazaLoader 被 Bumblebee 取代

Proofpoint 的觀察結果與 Google Threat Analysis Group 收集的數據重疊。據報導，在 BazaLoader 於 2 月份從在線環境中消失後，它被 Bumblebee 所取代，新裝載機在野外首次出現的時間可以追溯到 2022 年 3 月。

研究人員認為 Bumblebee 仍在積極開發中，但儘管如此，裝載機已經具備許多高級功能。其中包括躲避虛擬沙箱的高級檢查和常用下載器功能的原始變體。

攻擊使用惡意存檔和 ISO 文件

Bumblebee 被用於惡意電子郵件活動。誘餌包括敦促受害者“查看文件”的鏈接，聲稱發票在鏈接的另一端的電子郵件。另一端的真正內容是磁盤映像 .iso 文件，壓縮在存檔文件中並託管在 OneDrive 上。

打開 zip 文件會顯示其中的 .iso。一旦打開它，它就會在其中顯示兩個文件。它們都被命名為“附件”。一個是 .lnk 快捷方式文件，另一個是大小剛剛超過 2 兆字節的 .dat 文件。

如果執行快捷方式文件，它會從 .dat 文件加載 Bumblebee 並部署加載程序。

Proofpoint 認為當前使用 Bumblebee 的活動是由使用手柄 TA579 的威脅參與者運行的。

還觀察到了其他幾個類似的活動，一個使用電子郵件線程劫持，另一個是濫用使用網站上的“聯繫我們”部分生成的電子郵件。交付方法相似，但再次使用了不同名稱的有效負載和快捷方式 .lnk 文件。

根據 Proofpoint 的說法，加載程序可用作獲取網絡訪問權限並提供包括勒索軟件在內的二級有效載荷的工具。