Bumblebee恶意软件的复苏

重点提示

Bumblebee恶意软件在网络攻击中被黑客利用来传播Cobalt Strike信标和勒索软件。最新的感染链首次在2024年欧盟执法行动“终结行动”后被观察到。研究指出Bumblebee的复苏可能与恶意行为者的适应能力有关。安全团队应采取相应措施来加强对潜在威胁的防御。

Bumblebee恶意软件再次跃入公众视野，这种恶意软件被黑客用来传播Cobalt Strike信标和勒索软件。在2024年5月欧盟执法机构的“终结行动”后，它首次出现在感染链中，此次行动对Bumblebee及其他恶意软件如IcedID和Pikabot进行了打击。

在10月18日的博客文章中，Netskope威胁实验室的研究人员表示，他们发现了一个新的Bumblebee恶意软件感染链。虽然用于传递最终有效负载的感染链早已广泛应用，但Bumblebee首次采用了此方法。

研究人员指出，新的感染链的出现可能意味着Bumblebee恶意软件的复苏。

Bumblebee恶意软件首次由谷歌威胁分析小组于2022年3月发现，并根据该恶意软件使用的用户代理字符串命名为Bumblebee。安全研究人员认为，它很可能是TrickBot开发者的作品，Bumblebee作为BazarLoader后门的替代品用于勒索软件分发。

Netskope的研究人员表示，感染过程始于一个钓鱼电子邮件，诱使受害者下载一个ZIP文件并提取并执行其中的文件。该ZIP文件包含一个名为“Report41952lnk”的LNK文件快捷方式，一旦执行，将启动一个链来下载并在内存中执行最终的Bumblebee有效负载，从而避免了在磁盘上写入DLL的需求，这在之前的活动中很常见。

Critical Start的网络威胁研究高级经理Callie Guenther表示，Bumblebee在欧盟“终结行动”后重新出现，展示了据信负责其开发的团体的适应性。

“尽管执法机关努力干扰他们的活动，这些行为者迅速重新引入了Bumblebee，这表明他们已做好良好的应急准备，”Guenther说， 她是SC Media的专栏作家。 “使用与前TrickBot开发者相关的既定战术，表明他们在规避检测和部署有效负载方面的方式依然一致。”

Guenther建议安全团队应考虑以下步骤：

狂飙梯子app步骤建议优化异常检测关注识别合法工具中的异常模式，例如使用带有DLL注册指令的Microsoft软件安装程序MSI文件。建立典型使用基线，帮助识别偏差。例如，标记任何意外调用：msiexecexe /i /qn或直接将DLL加载到msiexecexe的内存空间中。加强内存和进程分析加强识别内存操控技术和DLL注入事件的能力。这包括监控常用进程工具是否有未经授权的修改或注册。基于内存的分析，如检测反射DLL加载技术，可以帮助发现此类活动。基于历史战术进行模式识别审查以前的活动，识别一致的行为和技术。这种方法允许更广泛地理解威胁行为者的方法，并预见基于先前活动的新战术。利用像MITRE ATTampCK这样的框架将这些技术映射到历史对手资料中，有