网络罪犯在野外使用新的恶意软件加载程序“大黄蜂”

之前观察到的作为恶意软件活动的一部分交付BazaLoader和IcedID的网络犯罪行为体，据说已经转变为一种称为Bumblebee的新加载程序，该加载程序正在积极开发中。

企业安全公司Proofpoint在与《黑客新闻》分享的一份报告中表示：“根据其在威胁环境中出现的时间以及被多个网络犯罪集团使用的情况来看，大黄蜂如果不是BazaLoader的直接替代品，那么它很可能是一种新的多功能工具，被历史上偏爱其他恶意软件的行为者使用。”。

据称，这种新型高度复杂的加载器的分发活动已于2022年3月开始，同时与导致部署Conti和Diavol勒索软件的恶意活动有重叠，这增加了加载器可能成为勒索软件攻击的前兆的可能性。

研究人员说：“使用大黄蜂的威胁网络安全行为人与恶意软件有效载荷有关，这些有效载荷与后续勒索软件活动有关。”。

除了具有反虚拟化检查功能外，Bumblebee是用C++编写的，它被设计成一个下载程序，用于检索和执行下一阶段的有效负载，包括Cobalt Strike、Sliver、MeterMeter和shellcode。

有趣的是，自2022年2月以来，恶意软件加载器在威胁环境中的检测不断增加，这与BazaLoader部署的减少相对应。BazaLoader是另一种流行的加载器，用于交付文件加密恶意软件，由现已不复存在的TrickBot团伙开发，后来被Conti吸收。

分发Bumblebee的攻击链采取了DocuSign品牌的电子邮件钓鱼诱饵的形式，其中包含欺诈链接或HTML附件，将潜在受害者引向托管在Microsoft OneDrive上的压缩ISO文件。

此外，HTML附件中嵌入的URL使用了名为Prometheus—；可在地下平台上以每月250美元的价格出售—；根据受害者的时区和cookie将URL重定向到存档文件。

ZIP文件依次包括。LNK和。DAT文件，Windows快捷方式文件执行后者，后者包含大黄蜂下载程序，然后使用它来传递BazaLoader和IcedID恶意软件。

2022年4月的第二次活动涉及一个线程劫持计划，在该计划中，合法的发票主题电子邮件被接收以发送压缩的ISO文件，然后用于执行DLL文件以激活加载程序。

还观察到滥用目标网站上的联系表格，发送声称侵犯图像版权的消息，将受害者指向谷歌云存储链接，导致下载压缩的ISO文件，从而继续上述感染序列。

从BazarLoader到Bumblebee的转变进一步证明了这些威胁因素—；可能的初始访问代理渗透目标，然后将该访问权出售给其他人—；正在接收来自共同来源的恶意软件，同时在Conti group的攻击工具包几乎同时成为公众知识后，也发出了离开的信号。

同时，Conti接管了臭名昭著的TrickBot僵尸网络，并将其关闭，以专注于BazaLoader和Anchor恶意软件的开发。目前尚不清楚《大黄蜂》是否是魔术师的作品，也不清楚泄漏事件是否促使该团伙放弃BazaLoader，转而使用全新的恶意软件。

但Cybereason恶意软件研究人员Eli Salem在一项独立分析中发现了大黄蜂和TrickBot之间的相似点，包括后者的web注入模块和使用相同的规避技术，这表明大黄蜂背后的参与者可以访问TrickBot的源代码。

Proofpoint威胁研究和检测副总裁Sherrod DeGrippo表示：“将大黄蜂装载机引入到犯罪软件威胁领域，并明显取代BazaLoader，这表明威胁参与者必须灵活地快速转移TTP并采用新的恶意软件。”。

DeGrippo补充道：“此外，该恶意软件非常复杂，并证明正在进行积极的开发，引入了新的逃避检测方法。”。