【安全资讯】Bumblebee Loader再现新感染链

概要：

近期，Netskope的高级威胁研究工程师Leandro Fróes报告称，Bumblebee loader的最新感染链被发现。自2022年3月首次被谷歌威胁分析组发现以来，Bumblebee因其能够传递其他危险有效载荷（如Cobalt Strike和勒索软件）而臭名昭著。此次发现标志着自2024年5月Europol进行的Operation Endgame以来，Bumblebee首次重新出现，令研究人员感到担忧。

主要内容：

Bumblebee的感染通常始于一封包含ZIP文件的网络钓鱼邮件。受害者提取并执行伪装成合法LNK文件的文件后，恶意软件感染过程便开始。该LNK文件会从远程服务器下载Microsoft Installer（MSI）文件，随后在内存中安装并执行Bumblebee有效载荷。通过在内存中执行，Bumblebee避免了将恶意DLL写入磁盘，从而使检测变得更加困难。

使用MSI文件传递恶意软件已成为网络犯罪分子的常见技术。Fróes指出，分析样本伪装成Nvidia和Midjourney安装程序，能够在内存中加载和执行最终有效载荷，而无需将其写入磁盘。这种方法显著提高了恶意软件的隐蔽性。

此次Bumblebee活动的独特之处在于其先进的规避技术。与之前版本依赖于LOLBins（Living-off-the-Land Binaries）不同，新活动直接将恶意DLL加载到msiexec.exe进程的内存中，利用MSI文件的SelfReg表。这种方法几乎不留下痕迹，给安全团队的检测和分析带来了极大挑战。Bumblebee的有效载荷中包含一些熟悉的特征，如用于解密配置的硬编码RC4密钥。Fróes总结道，网络犯罪分子正在不断完善其方法，组织需要为新威胁做好准备。