以企业为目标的Bumblebee恶意软件通过谷歌推广（Google Ads和SEO）投毒传播，它们推广了诸如Zoom、Cisco AnyConnect、ChatGPT和Citrix Workspace等流行软件。Bumblebee是一种恶意软件加载器，发现于2022年4月，被认为是Conti团队开发的，用于替代BazarLoader后门，后门被用于获取网络的初始访问权限并进行勒索软件攻击。

2022年9月，研究人员在野外观察到了该恶意软件加载器的一个新版本，该版本具有更隐蔽的攻击链，利用PowerSploit框架将反射式DLL注入到内存中。Secureworks的研究人员最近发现了一个利用Google广告推广木马化流行应用程序的新活动，将恶意软件加载器传播给毫无戒心的受害者。隐藏在流行应用程序中 SecureWorks观察到的其中一个活动是一个Google广告，它推广了一个虚假的Cisco AnyConnect Secure Mobility Client下载页面，该页面创建于2023年2月16日，并托管在“appcisco[.]com”域上。

“一个始于恶意Google广告的感染链将用户通过一个被攻击的WordPress站点引导至这个伪造的下载页面。”SecureWorks的报告解释道。伪造的Cisco软件下载门户 伪造的Cisco软件下载门户 (Secureworks) 这个伪造的登陆页面宣传了一个名为“cisco-anyconnect-4_9_0195.msi”的木马化MSI安装程序，该安装程序安装了BumbleBee恶意软件。在执行过程中，合法程序安装器的副本和一个名为（cisco2.ps1）的欺骗性PowerShell脚本被复制到用户的计算机上。由恶意MSI释放的文件 由恶意MSI释放的文件（Secureworks） CiscoSetup.exe是AnyConnect的合法安装程序，将应用程序安装到设备上以避免引起怀疑。然而，PowerScrip脚本安装了BumbleBee恶意软件，并在受损设备上进行恶意活动。

Secureworks解释道：“PowerShell脚本包含一系列从PowerSploit ReflectivePEInjection.ps1脚本中复制并重命名的函数。”“它还包含一个编码的Bumblebee恶意软件有效载荷，将其反射式加载到内存中。”这意味着Bumblebee仍然使用相同的后渗透框架模块将恶意软件加载到内存中，而不会引起现有杀毒产品的警报。Secureworks发现其他软件包也有类似命名的文件对，如ZoomInstaller.exe和zoom.ps1，ChatGPT.msi和chch.ps1以及CitrixWorkspaceApp.exe和citrix.ps1。

勒索软件之路
考虑到木马化软件针对的是企业用户，受感染的设备可能成为勒索软件攻击的开始。Secureworks详细研究了最近的一次Bumblebee攻击。他们发现，威胁行为者在最初感染后约三个小时，利用对受损系统的访问在网络中进行横向移动。攻击者在被攻破的环境中部署的工具包括Cobalt Strike渗透测试套件、AnyDesk和DameWare远程访问工具、网络扫描实用程序、AD数据库转储器和Kerberos凭据窃取器。这一武器库构建了一种攻击特征，使得恶意软件操作者很有可能对识别可访问的网络节点、转向其他机器、窃取数据和最终部署勒索软件感兴趣。