Hackernews 编译,转载请注明出处:
被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用,来破坏目标网络,进行开发后的活动。
Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说: “Bumblebee操作员进行密集的侦察活动,并将执行命令的输出重定向到文件中进行过滤。”
Bumblebee于2022年3月首次曝光,当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动,该经纪人与TrickBot和更大的Conti组织有联系。
通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付,此后,这种操作方式得到了调整,避开使用带有宏的文档,转而使用ISO和LNK文件,主要是为了响应微软默认阻止宏的决定。
研究人员说:“恶意软件的传播是通过钓鱼电子邮件来完成的,该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行,最终用户必须提取存档,挂载ISO映像文件,并单击Windows快捷方式(LNK)文件。”
LNK文件就其本身而言,包含启动Bumblebee加载程序的命令,然后将其用作下一阶段操作(如持久性、权限升级、侦察和凭据盗窃)的管道。
攻击期间还使用了Cobalt Strike对手模拟框架,该框架在受感染端点上提升权限后,使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。
在Cybereason分析的事件中,一名高权限用户的被盗凭据随后被用来控制Active Directory,更不用说创建一个本地用户帐户来进行数据泄露。