Bumblebee 恶意软件加载器新一轮攻击活动

重点信息

• Bumblebee 恶意软件加载器的运营者在经历了两个月的沉寂后，发起了新的攻击活动。
• 攻击者利用 4shared Web 分布式创作与版本控制服务进行恶意活动。
• 恶意邮件伪装成发票、扫描件和通知，主要包含 Windows LNK 文件。
• 更新的 Bumblebee 加载器采用了 TCP 协议与指挥与控制服务器通信，并改进了域名生成算法。

根据 的报道，Bumblebee恶意软件加载器的运营商最近发起了一项新活动，利用 4shared Web分布式创作与版本控制服务，经过两个月的间歇后再次活跃。攻击者通过恶意邮件进行传播，这些邮件通常伪装成发票、扫描件和各种通知，主要包含 Windows LNK文件。这些 LNK 文件会触发一系列命令，首先就会在目标机器的网络驱动器上挂载一个 WebDAV 文件夹，Intel471 的报告表明了这一点。

在追求攻击链优化的同时，攻击者通过各种文件复制、挂载和提取技术，进一步提高了其活动的有效性。此外，威胁行为者还对 Bumblebee加载器进行了更新，研究人员发现该加载器目前使用 TCP协议进行与指挥与控制服务器的通信，并采用了新的域名生成算法（DGA）来生成顶级域空间中的域名。这一新的 DGA 实现使得 Bumblebee的域名阻断和干扰工作变得更加困难。

相关链接： -

总结来说，Bumblebee恶意软件的运营者正在通过新的手段和技术来提高其攻击效果，并且其活动已经开始在恶意邮件传播中表现得更加复杂和隐秘。安全研究人员和相关机构需要加强对这一新型攻击方法的监测和防范。