作为利用后活动的一部分,威胁参与者正在使用 Bumblebee 加载程序来破坏 Active Directory 服务。
Cybereason 全球安全运营中心 (GSOC) 团队分析了涉及 Bumblebee Loader 的网络攻击,并详细说明了攻击者如何破坏整个网络。
大多数 Bumblebee 感染是由执行 LNK 文件 的用户开始的,这些文件使用系统二进制文件加载恶意软件。该恶意软件通过使用恶意附件或指向包含 Bumblebee 的恶意存档的链接的网络钓鱼消息进行分发。
在初始执行后,Bumblebee 被用于执行利用后的活动,包括特权升级、侦察和凭据盗窃。
威胁参与者进行密集的侦察活动,并将执行命令的输出重定向到文件以进行渗透。
Bumblebee自 2022 年 3 月被 Google 的威胁分析小组 (TAG)发现 以来一直很活跃,专家们注意到,以前使用 BazaLoader 和 IcedID 作为其恶意软件活动一部分的网络犯罪组织已转向 Bumblebee 加载程序。
“Cybereason GSOC 观察到威胁参与者从 BazarLoader、Trickbot 和 IcedID 过渡到 Bumblebee,这似乎正在积极开发中,通常是许多威胁参与者的首选加载程序。” 阅读 Cybereason 发布的分析。“Bumblebee 操作员在整个攻击过程中使用 Cobalt Strike 框架。威胁参与者使用获得的凭据访问 Active Directory 并制作包含整个 Active Directory 数据的 ntds.dit 副本。最后,域管理员帐户用于横向移动、创建本地用户帐户以及使用 Rclone 软件窃取数据。”
在 Cybereason 分析的攻击中,攻击者使用被盗的高权限用户凭据来访问 Active Directory并破坏目标网络。
“Bumblebee 使用 Windows Management Instrumentation 命令行实用程序 (WMIC) 访问远程 Active Directory 机器,并使用 vssadmin 命令创建卷影副本。此外,攻击者还从域控制器中窃取了 ntds.dit 文件。ntds.dit 文件是一个存储 Active Directory 数据的数据库,包括有关用户对象、组和组成员身份的信息。该文件还存储域中所有用户的密码哈希。” 继续分析。
专家们注意到,从初始访问到 Active Directory 入侵之间的时间不到两天。
GSOC 专家警告说,必须将涉及 Bumblebee 的攻击视为严重攻击。他们分析的攻击链允许威胁参与者在受感染的网络中传递他们的勒索软件。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Bumblebee攻击,从初始访问到Active Directory服务的入侵
