Bumblebee 恶意软件加载器再现，背后与 Trickbot 开发者有关

重点提要

• Bumblebee 恶意软件加载器的攻击活动已再度出现，与 Trickbot 开发者相关。
• 这些攻击通过钓鱼邮件传播恶意 ZIP 文件，下载恶意 NVIDIA 驱动程序或伪装的 Midjourney 安装程序。
• 最近的分析显示 Bumblebee 加载器使用特定的配置解密 RC4 密钥，并引入新活动 ID。

在国际执法行动“终局行动”（）的过程中，Bumblebee恶意软件加载器的攻击活动在网络机器人被中断四个月后再次被发现。此次攻击还涉及其他恶意软件加载器，包括 IcedID、Trickbot、Pikabot、SystemBC 和 SmokeLoader， 报导了这一消息。

根据 Netskope 的分析，攻击者通过发送包含恶意 ZIP 文件的钓鱼邮件来实施最新的入侵行为。该 ZIP 文件在执行后会触发下载恶意的 NVIDIA驱动程序更新或伪装成 Midjourney 的 .MSI 文件。该文件的隐秘执行随后会利用 MSI 结构的 SelfReg 表来加载 DLL，这样就会在内存中交付 Bumblebee 恶意软件加载器。

对重新出现的 Bumblebee 加载器的进一步分析显示，该加载器使用了“NEW_BLACK”字符串来解密配置中的 RC4密钥，也引入了新的“msi”和“lnk001”活动 IDs。然而，关于 Bumblebee 注入的有效负载的详细信息尚未提供。

相关链接 : - -