欧洲刑警组织五月份的 “终局行动 ”破坏了大黄蜂恶意软件的运行,几个月后,专家警告说,新一波攻击涉及大黄蜂恶意软件。
欧洲刑警组织在五月份的 “终局行动 ”中中断了大黄蜂恶意软件的运行,四个月后,大黄蜂恶意软件加载程序又在新的攻击中出现。
大黄蜂自2022年3月被谷歌威胁分析小组(TAG)发现以来一直很活跃,专家们注意到,之前使用BazaLoader和IcedID作为其恶意软件活动一部分的网络犯罪团伙转而使用大黄蜂加载器。
据专家称,该恶意软件是由 TrickBot 组织开发的,它取代了 BazarLoader 后门,在勒索软件攻击中为受害者的基础设施提供初始访问权限。
大多数 “大黄蜂 ”感染都是从用户执行LNK文件开始的,LNK文件使用系统二进制文件加载恶意软件。恶意软件通过使用恶意附件或包含大黄蜂的恶意存档链接的钓鱼信息传播。在初始执行后,Bumblebee 被用于执行后剥削活动,包括权限升级、侦察和凭证窃取。威胁行为者进行密集的侦察活动,并将执行命令的输出重定向到文件以进行外泄。
2024 年 5 月 27 日至 29 日,欧洲刑警组织协调开展了代号为 “终局行动 ”的国际执法行动,目标是 IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee 和 Trickbot 等恶意软件。
荷兰、德国、法国、丹麦、美国和英国当局在欧洲刑警组织和欧洲司法组织的支持下开展了联合行动。此外,在上述当局的合作下,乌克兰、瑞士、亚美尼亚、葡萄牙、罗马尼亚、加拿大、立陶宛和保加利亚警方也采取了行动,逮捕或审讯嫌疑人,搜查或扣押服务器并将其拦截。
这是有史以来针对僵尸网络的最大规模行动,而僵尸网络是部署勒索软件的关键。
Netskope 研究人员发现了涉及大黄蜂加载器的新攻击,这是自 “终结者行动 ”以来他们首次发现大黄蜂活动。
Netskope 检测到的大黄蜂感染可能始于一封钓鱼邮件,其中包含一个 ZIP 文件和一个名为 “Report-41952.lnk ”的 LNK 文件。一旦执行,它就会将有效载荷直接下载到内存中。
Netskope发布的报告指出:“一旦打开,LNK文件就会执行一条Powershell命令,从远程服务器下载一个MSI文件,将其重命名为“%AppData%\y.msi”,然后使用微软msiexec.exe工具执行/安装该文件。“新的大黄蜂有效载荷通过 MSI 文件传送。分析的样本伪装成 Nvidia 和 Midjourney 安装程序。它们被用来在内存中加载和执行最终有效载荷,甚至无需将有效载荷放到磁盘上,就像在以前使用 ISO 文件的活动中观察到的那样。”
最新版本的 “大黄蜂 ”通过使用 MSI SelfReg 表直接执行恶意 DLL,而不启动 rundll32 或 powershell 等工具,从而避免创建新进程,使其更加隐蔽。
Bumblebee 恶意软件使用内部 DLL 名称和导出函数等已知特征。它使用硬编码的 RC4 密钥(“NEW_BLACK”)解密其配置。解密数据包括端口 443 以及活动 ID “msi ”和 “lnk001”。
Netskope 在 GitHub 存储库中发布了这些攻击的破坏指标 (IoC)。