Bumblebee恶意软件加载程序在最近的攻击中被发现。今年5月欧洲刑警组织“终局行动”曾查封该软件。

　　E安全了解，Bumblebee大黄蜂恶意软件由TrickBot开发人员创造， 2022年出现，作为BazarLoader后门程序的替代品，为勒索软件威胁行为者提供对入侵网络的访问权限。

　　Bumblebee提供的有效载荷包括Cobalt Strike信标、信息窃取恶意软件和各种勒索软件菌株。

　　从那以后，Bumblebee就消失了。然而，网络安全公司Netskope的研究人员发现与该恶意软件相关的新活动，这表明它可能卷土重来。

　　然后，使用带有/qn选项的msiexec.exe以静默方式执行MSI文件，这可确保进程在没有任何用户交互的情况下运行。

　　为避免创建新进程，恶意软件使用MSI结构中的SelfReg表苹果TV 小火箭怎么用，该表指示msiexec.exe将DLL加载到自己的地址空间并调，并调用其DllRegisterServer函数。

　　Netskope评论，Bumblebee有效负载带有其标志性的内部DLL和导出的函数命名方案，以及过去变体中观察到的配置提取机制。

　　在最近的攻击中，用于解密其配置的RC4密钥使用“NEW_BLACK”字符串，同时有两个活动ID，分别为“msi”和“lnk001”。

　　Netskope没有提供有关Bumblebee投放有效载荷或活动规模的信息，但该报告是对卷土重来早期迹象的警告。