一个新版本的 Bumblebee 恶意软件加载程序在野外被发现,它具有一个新的感染链,它使用 PowerSploit 框架将 DLL 有效负载隐蔽反射注入内存。
Bumblebee 于 4 月被发现,参与了据信由 BazarLoader 和 TrickBot 背后的同一行为者(即 Conti 集团)策划的网络钓鱼活动。
由于 Bumblebee 是一种具有高级反分析和反检测功能的进化加载程序,因此假设它将在最初的妥协攻击和随后的勒索软件部署中取代其他加载程序,例如 BazarLoader。
Bumblebee 的分发率在随后的几个月中达到了显着水平,但新装载机从未在该领域占据主导地位。
根据 Cyble 的一份报告,基于威胁研究人员 Max Malyutin的发现,Bumblebee 的作者正在准备使用新的执行流程从垃圾邮件操作的夏季中断中卷土重来。
从内存执行
此前,Bumblebee 通过带有密码保护的压缩 ISO 文件的电子邮件与受害者联系,其中包含 LNK(用于执行有效负载)和 DLL 文件(有效负载)。
在最近的攻击中,Bumblebee 将 ISO 替换为 VHD(虚拟硬盘)文件,该文件再次包含 LNK 快捷方式文件(引用)。
新攻击流程 (Cyble)中使用的文件
LNK 现在不是直接执行 Bumblebee (DLL),而是执行“imagedata.ps1”,它会启动一个 PowerShell 窗口并通过滥用“ShowWindow”命令对用户隐藏它。
SP1 脚本在加载 PowerShell 加载程序的第二阶段时使用 Base64 和字符串连接进行模糊处理,以逃避 AV 检测。
SP1 脚本中的混淆 (Cyble)
第二阶段的特征与第一阶段相同,包含PowerSploit 模块,用于使用反射注入将 64 位恶意软件 (LdrAddx64.dll) 加载到 PowerShell 进程的内存中。
“PowerSploit 是一个开源后利用框架,其中恶意软件使用 Invoke-ReflectivePEInjection 方法将 DLL 反射式加载到 PowerShell 进程中,” Cyble 在报告中解释道。
“此方法验证嵌入文件并执行多项检查,以确保文件在执行系统上正确加载。”
Bumblebee 加载到 PowerShell 内存进程 (Cyble)
使用新的加载流程,Bumblebee 从内存加载,从不接触主机磁盘,从而最大限度地减少被杀毒工具检测和阻止的机会。
通过增加其隐蔽性,Bumblebee 成为更强大的初始访问威胁,并增加了诱使勒索软件和恶意软件运营商寻找部署其有效载荷的方法的机会。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Bumblebee恶意软件增加了用于隐蔽感染的后利用工具
