ASEC 分析團(tuán)隊(duì)最近發(fā)現(xiàn)��,許多下載器類型的惡意軟件 Bumblebee 正在傳播��。Bumblebee 下載器正在通過網(wǎng)絡(luò)釣魚電子郵件作為 ISO 文件分發(fā)����,該 ISO 文件包含一個(gè)快捷方式文件和一個(gè)惡意 dll 文件。此外�,還確認(rèn)了通過電子郵件劫持向國內(nèi)用戶分發(fā)的案例。
以下是分發(fā) Bumblebee 下載器的網(wǎng)絡(luò)釣魚電子郵件�����。這封電子郵件會(huì)截獲一封正常的電子郵件,并在回復(fù)用戶時(shí)附上惡意文件�。在收到電子郵件的用戶的情況下,判斷為正?�;貜?fù)���,可以毫無疑問地執(zhí)行附件��,因此需要注意����。額外確認(rèn)的網(wǎng)絡(luò)釣魚電子郵件也正在使用電子郵件劫持方法進(jìn)行分發(fā)��。除了通過附件進(jìn)行傳播之外�,還有一種傳播方法是通過在電子郵件正文中包含惡意 URL 來誘導(dǎo)下載。在通過惡意 URL 進(jìn)行分發(fā)的方法中使用 Google Drive 有一個(gè)特點(diǎn)���。
在釣魚郵件附件的壓縮文件中設(shè)置了密碼��,密碼顯示在郵件正文中��。該文件偽裝成發(fā)票或請(qǐng)求相關(guān)文件名�����,可見壓縮文件內(nèi)部存在ISO文件����。
執(zhí)行 ISO 文件時(shí),會(huì)在 DVD 驅(qū)動(dòng)器中創(chuàng)建 lnk 文件和 dll 文件����。lnk文件執(zhí)行加載通過rundll32.exe創(chuàng)建的惡意dll文件的特定功能的功能。dll 文件是一個(gè)實(shí)際執(zhí)行惡意操作并設(shè)置了隱藏屬性的文件��。如果關(guān)閉顯示隱藏屬性文件的選項(xiàng)�����,則只出現(xiàn)lnk文件�����,因此很有可能在不知道惡意dll文件存在的情況下運(yùn)行l(wèi)nk文件���。
lnk 命令
%windir%\system32\rundll32.exeneval.dll,jpHgEctOOP
最近確認(rèn)的ISO文件有一些變化,但是除了lnk文件和dll文件之外��,還增加了bat文件。bat文件執(zhí)行與現(xiàn)有l(wèi)nk文件相同的功能����,并且lnk文件的命令已更改為執(zhí)行該類型的bat文件。此時(shí)為dll文件和bat文件設(shè)置了隱藏屬性�,所以用戶只能查看lnk文件,和之前一樣�����。
lnk 命令
%windir%\system32\cmd.exe /c 啟動(dòng)請(qǐng)求pdf.bat
bat 命令
@start rundll32 da4nos.dll,ajwGwRKhLi
通過lnk文件執(zhí)行的惡意dll是打包形式的��,解包后會(huì)進(jìn)行多次反沙盒和反分析測試���。多個(gè)檢查過程中的一些如下�,它是一個(gè)代碼�����,檢查用于惡意代碼分析的程序是否正在運(yùn)行���,虛擬環(huán)境中使用的文件是否存在���,以及是否通過mac地址與特定制造商匹配����。除了相應(yīng)的檢查外���,還通過注冊(cè)表值����、窗口名�、設(shè)備、用戶名���、是否存在特定的API來檢查是虛擬環(huán)境還是分析環(huán)境���。
如果上述所有過程都通過,則執(zhí)行了實(shí)際的惡意操作���。首先,對(duì)編碼數(shù)據(jù)進(jìn)行解碼���,得到如下的多個(gè)C2信息��。之后����,它通過收集用戶PC信息來嘗試連接和傳輸C2。
解碼 C2
73.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 :443����、101.88.16[.]100:443、19.71.13[.]153:443�����、108.16.90[.]159:443��、103.175.16[.]122:443����、121.15.221[.]97:443、19.71.13[.]153:443��、22.175.0[.]90:443����、19.71.13[.]153:443、146.19.253[.]49:443��、38.12.57[.]131:443、191.26.101[.]13:443
目前無法連接相關(guān)的C2���,但如果連接成功��,可以根據(jù)攻擊者的指令進(jìn)行以下動(dòng)作�。將文件名為“my_application_path”的惡意DLL復(fù)制到%APPDATA%文件夾�,創(chuàng)建執(zhí)行復(fù)制的dll的vbs文件,將惡意數(shù)據(jù)注入正常程序����,保存并執(zhí)行從C2接收到的文件名惡意數(shù)據(jù)“wab.exe” 還有各種附加功能,例如
注入目標(biāo)程序
\\Windows Photo Viewer\\ImagingDevices.exe
\\Windows Mail \\wab.exe
\\Windows Mail\\wabmig.exe
近期�����,Bumblebee 下載器數(shù)量大幅增加��,存在通過 Bumblebee 下載器下載 Cobalt Strike 等惡意數(shù)據(jù)的案例����。另外,國內(nèi)用戶已經(jīng)確認(rèn)使用郵件劫持的方式進(jìn)行分發(fā)�����,需要用戶注意��,對(duì)郵件中的附件和網(wǎng)址進(jìn)行限制閱讀和訪問����。目前,在V3中����,惡意代碼診斷如下。
【文件診斷】
Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02)
木馬/Win.BumbleBee.R497004 (2022.06.11.01)
Dropper/ISO.Bumblebee (2022.06.13.02)
木馬/BAT.Runner (2022.06.13.02)
木馬/LNK.Runner (2022.06.13.02)
[IOC ]
11999cdb140965db45055c0bbf32c6ec
b7936d2eed4af4758d2c5eac760baf1d
e50fff61c27e6144823dd872bf8f8762
2c9a4291387fd1472081c9c464a8a4caed20bfa
