ASEC 分析團(tuán)隊最近發(fā)現(xiàn),許多下載器類型的惡意軟件 Bumblebee 正在傳播。Bumblebee 下載器正在通過網(wǎng)絡(luò)釣魚電子郵件作為 ISO 文件分發(fā)��,該 ISO 文件包含一個快捷方式文件和一個惡意 dll 文件。此外����,還確認(rèn)了通過電子郵件劫持向國內(nèi)用戶分發(fā)的案例���。
以下是分發(fā) Bumblebee 下載器的網(wǎng)絡(luò)釣魚電子郵件�����。這封電子郵件會截獲一封正常的電子郵件����,并在回復(fù)用戶時附上惡意文件�����。在收到電子郵件的用戶的情況下���,判斷為正?���;貜?fù)����,可以毫無疑問地執(zhí)行附件,因此需要注意��。額外確認(rèn)的網(wǎng)絡(luò)釣魚電子郵件也正在使用電子郵件劫持方法進(jìn)行分發(fā)���。除了通過附件進(jìn)行傳播之外����,還有一種傳播方法是通過在電子郵件正文中包含惡意 URL 來誘導(dǎo)下載���。在通過惡意 URL 進(jìn)行分發(fā)的方法中使用 Google Drive 有一個特點��。
在釣魚郵件附件的壓縮文件中設(shè)置了密碼�,密碼顯示在郵件正文中��。該文件偽裝成發(fā)票或請求相關(guān)文件名�,可見壓縮文件內(nèi)部存在ISO文件。
執(zhí)行 ISO 文件時�����,會在 DVD 驅(qū)動器中創(chuàng)建 lnk 文件和 dll 文件��。lnk文件執(zhí)行加載通過rundll32.exe創(chuàng)建的惡意dll文件的特定功能的功能����。dll 文件是一個實際執(zhí)行惡意操作并設(shè)置了隱藏屬性的文件����。如果關(guān)閉顯示隱藏屬性文件的選項�,則只出現(xiàn)lnk文件,因此很有可能在不知道惡意dll文件存在的情況下運行l(wèi)nk文件���。
lnk 命令
%windir%\system32\rundll32.exeneval.dll,jpHgEctOOP
最近確認(rèn)的ISO文件有一些變化����,但是除了lnk文件和dll文件之外����,還增加了bat文件。bat文件執(zhí)行與現(xiàn)有l(wèi)nk文件相同的功能�����,并且lnk文件的命令已更改為執(zhí)行該類型的bat文件����。此時為dll文件和bat文件設(shè)置了隱藏屬性,所以用戶只能查看lnk文件����,和之前一樣。
lnk 命令
%windir%\system32\cmd.exe /c 啟動請求pdf.bat
bat 命令
@start rundll32 da4nos.dll,ajwGwRKhLi
通過lnk文件執(zhí)行的惡意dll是打包形式的���,解包后會進(jìn)行多次反沙盒和反分析測試��。多個檢查過程中的一些如下��,它是一個代碼�,檢查用于惡意代碼分析的程序是否正在運行�����,虛擬環(huán)境中使用的文件是否存在�,以及是否通過mac地址與特定制造商匹配。除了相應(yīng)的檢查外����,還通過注冊表值、窗口名�、設(shè)備、用戶名����、是否存在特定的API來檢查是虛擬環(huán)境還是分析環(huán)境����。
如果上述所有過程都通過�����,則執(zhí)行了實際的惡意操作�����。首先���,對編碼數(shù)據(jù)進(jìn)行解碼�����,得到如下的多個C2信息�。之后����,它通過收集用戶PC信息來嘗試連接和傳輸C2。
解碼 C2
73.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 :443����、101.88.16[.]100:443��、19.71.13[.]153:443����、108.16.90[.]159:443����、103.175.16[.]122:443��、121.15.221[.]97:443��、19.71.13[.]153:443����、22.175.0[.]90:443、19.71.13[.]153:443�����、146.19.253[.]49:443���、38.12.57[.]131:443����、191.26.101[.]13:443
目前無法連接相關(guān)的C2,但如果連接成功�,可以根據(jù)攻擊者的指令進(jìn)行以下動作。將文件名為“my_application_path”的惡意DLL復(fù)制到%APPDATA%文件夾����,創(chuàng)建執(zhí)行復(fù)制的dll的vbs文件,將惡意數(shù)據(jù)注入正常程序���,保存并執(zhí)行從C2接收到的文件名惡意數(shù)據(jù)“wab.exe” 還有各種附加功能����,例如
注入目標(biāo)程序
\\Windows Photo Viewer\\ImagingDevices.exe
\\Windows Mail \\wab.exe
\\Windows Mail\\wabmig.exe
近期�,Bumblebee 下載器數(shù)量大幅增加,存在通過 Bumblebee 下載器下載 Cobalt Strike 等惡意數(shù)據(jù)的案例��。另外����,國內(nèi)用戶已經(jīng)確認(rèn)使用郵件劫持的方式進(jìn)行分發(fā),需要用戶注意����,對郵件中的附件和網(wǎng)址進(jìn)行限制閱讀和訪問。目前�,在V3中��,惡意代碼診斷如下���。
【文件診斷】
Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02)
木馬/Win.BumbleBee.R497004 (2022.06.11.01)
Dropper/ISO.Bumblebee (2022.06.13.02)
木馬/BAT.Runner (2022.06.13.02)
木馬/LNK.Runner (2022.06.13.02)
[IOC ]
11999cdb140965db45055c0bbf32c6ec
b7936d2eed4af4758d2c5eac760baf1d
e50fff61c27e6144823dd872bf8f8762
2c9a4291387fd1472081c9c464a8a4caed20bfa
