![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科Bumblebee和Latrodectus恶意软件以复杂的网络钓鱼策略回归](https://www.anquan114.com/wp-content/uploads/2024/10/20241023100920954-image.png)
在名为《终局之战》的协调执法行动后遭受挫折的两个恶意软件家族作为新的网络钓鱼活动的一部分重新浮出水面。
Bumblebee和Latrodectus都是恶意软件加载器,旨在窃取个人数据,同时在被入侵的主机上下载和执行额外的有效负载。
以BlackWidow、IceNova、Lotus或Unidentified 111、Latrodectus的名义跟踪,由于两个恶意软件家族之间的基础设施重叠,它也被认为是IcedID的继任者。它已被用于与两个初始访问代理(IAB)相关的活动,称为TA577(又名Water Curupira)和TA578。
2024年5月,一个欧洲国家联盟表示,它拆除了100多台与IcedID(以及Latrodectus)、SystemBC、PikaBot、SmokeLoader、Bumblebee和TrickBot等几种恶意软件菌株相关的服务器。
Bitsight安全研究员João Batista早在2024年6月就指出,虽然行动中没有提到Latrodectus,但它也受到了影响,其基础设施也下线了。
网络安全公司Trustwave在本月早些时候发布的一份分析中将Latrodectus描述为“明确的威胁”,在《终局之战行动》之后得到了提升。
“虽然最初受到影响,但Latrodectus迅速反弹。其先进能力填补了残疾同行留下的空白,确立了自己是一个强大的威胁,”这家网络安全公司表示。
攻击链通常利用恶意垃圾邮件活动,利用被劫持的电子邮件线程,并冒充Microsoft Azure和Google Cloud等合法实体来激活恶意软件部署过程。
Forcepoint和Logpoint新观察到的感染序列走同样的路线,带有包含恶意链接的PDF附件的DocuSign主题电子邮件或带有嵌入式JavaScript代码的HTML文件,这些文件分别用于下载MSI安装程序和PowerShell脚本。
无论采用何种方法,攻击都会以部署恶意DLL文件为高潮,该文件反过来又会启动Latrodectus恶意软件。
Forcepoint研究员Mayur Sewani说,Latrodectus利用了较旧的基础设施,结合了一种新的、创新的恶意软件有效负载分配方法,用于金融、汽车和商业部门。
正在进行的Latrodectus活动与Bumblebee装载机的回归相吻合,该装载机使用可能通过网络钓鱼电子邮件下载的ZIP存档文件作为交付机制。
Netskope研究员Leandro Fróes说,ZIP文件包含一个名为’Report-41952.lnk’的LNK文件,一旦执行,就会启动一系列事件来下载和执行内存中的最终Bumblebee有效负载,避免了在磁盘上写入DLL的需要
LNK文件旨在执行PowerShell命令,从远程服务器下载MSI安装程序。一旦启动,MSI样本伪装成来自NVIDIA和Midjourney的安装程序,作为启动Bumblebee DLL的渠道。
Fróes指出,Bumblebee使用更隐身的方法来避免创建其他进程,并避免将最终有效负载写入磁盘。
“它通过使用SelfReg表来强制执行文件表中文件中存在的DllRegisterServer导出函数来执行。SelfReg表中的条目作为指示在文件表中执行哪个文件的键,在我们的案例中,它是最终的有效负载DLL。”
参考来源:thehackernews
暂无评论内容