Bumblebee 恶意软件加载器的新更新
关键要点
Bumblebee 恶意软件加载器已更新,采用新的 PowerSploit 框架感染链,以提高其反向 DLL 有效载荷的隐蔽性。攻击者通过发送密码保护的虚拟硬盘文件而非 ISO 文件来传播恶意软件,这些文件包含用于执行有效载荷的 LNK 快捷方式。攻击过程利用 Base64 编码对 SP1 脚本进行混淆,从而绕过检测。Cyble 研究人员发现,Bumblebee 恶意软件加载器 已进行了更新,加入了一种基于新型 PowerSploit 框架的感染链,旨在提高反射 DLL 有效载荷注入到内存中的隐蔽性,相关信息来自 BleepingComputer。
新 Bumblebee 攻击的受害者收到的电子邮件中包含一个密码保护的虚拟硬盘文件,而不是常规的 ISO 文件,这种文件内含用于执行有效载荷的 LNK 快捷方式。报告显示,LNK 文件会执行一个名为 imagedataps1 的脚本,该脚本将触发一个 PowerShell 窗口,而不是直接执行 Bumblebee。本次攻击中使用 Base64 编码对 SP1 脚本进行混淆,致力于绕过检测。研究人员称,在第二阶段同样观察到这种混淆,涉及利用 PowerSploit 模块加载 64 位的 LdrAddx64dll 恶意软件。
研究人员表示:“PowerSploit 是一个开源的后期利用框架,其中恶意软件采用一种方法,InvokeReflectivePEInjection,通过反向加载 DLL 到 PowerShell 进程。该方法可以验证嵌入文件,并进行多重检查,以确保文件在执行系统上正确加载。”
通过这样的技术,Bumblebee 恶意软件加载器显然在不断进化,使其在网络攻击中的隐蔽性和有效性得以提升。这个更新提醒我们在防范恶意软件和网络攻击时,需保持警惕,并采用多重防护措施来保护系统和数据安全。
极光加速器安卓版
