|
ASEC 分析团队最近发现,许多下载器类型的恶意软件 Bumblebee 正在传播。Bumblebee 下载器正在通过网络钓鱼电子邮件作为 ISO 文件分发,该 ISO 文件包含一个快捷方式文件和一个恶意 dll 文件。此外,还确认了通过电子邮件劫持向国内用户分发的案例。 以下是分发 Bumblebee 下载器的网络钓鱼电子邮件。这封电子邮件会截获一封正常的电子邮件,并在回复用户时附上恶意文件。在收到电子邮件的用户的情况下,判断为正常回复,可以毫无疑问地执行附件,因此需要注意。额外确认的网络钓鱼电子邮件也正在使用电子邮件劫持方法进行分发。除了通过附件进行传播之外,还有一种传播方法是通过在电子邮件正文中包含恶意 URL 来诱导下载。在通过恶意 URL 进行分发的方法中使用 Google Drive 有一个特点。   在钓鱼邮件附件的压缩文件中设置了密码,密码显示在邮件正文中。该文件伪装成发票或请求相关文件名,可见压缩文件内部存在ISO文件。   执行 ISO 文件时,会在 DVD 驱动器中创建 lnk 文件和 dll 文件。lnk文件执行加载通过rundll32.exe创建的恶意dll文件的特定功能的功能。dll 文件是一个实际执行恶意操作并设置了隐藏属性的文件。如果关闭显示隐藏属性文件的选项,则只出现lnk文件,因此很有可能在不知道恶意dll文件存在的情况下运行lnk文件。 lnk 命令   最近确认的ISO文件有一些变化,但是除了lnk文件和dll文件之外,还增加了bat文件。bat文件执行与现有lnk文件相同的功能,并且lnk文件的命令已更改为执行该类型的bat文件。此时为dll文件和bat文件设置了隐藏属性,所以用户只能查看lnk文件,和之前一样。 lnk 命令 bat 命令   通过lnk文件执行的恶意dll是打包形式的,解包后会进行多次反沙盒和反分析测试。多个检查过程中的一些如下,它是一个代码,检查用于恶意代码分析的程序是否正在运行,虚拟环境中使用的文件是否存在,以及是否通过mac地址与特定制造商匹配。除了相应的检查外,还通过注册表值、窗口名、设备、用户名、是否存在特定的API来检查是虚拟环境还是分析环境。    如果上述所有过程都通过,则执行了实际的恶意操作。首先,对编码数据进行解码,得到如下的多个C2信息。之后,它通过收集用户PC信息来尝试连接和传输C2。 解码 C2 目前无法连接相关的C2,但如果连接成功,可以根据攻击者的指令进行以下动作。将文件名为“my_application_path”的恶意DLL复制到%APPDATA%文件夹,创建执行复制的dll的vbs文件,将恶意数据注入正常程序,保存并执行从C2接收到的文件名恶意数据“wab.exe” 还有各种附加功能,例如 注入目标程序 近期,Bumblebee 下载器数量大幅增加,存在通过 Bumblebee 下载器下载 Cobalt Strike 等恶意数据的案例。另外,国内用户已经确认使用邮件劫持的方式进行分发,需要用户注意,对邮件中的附件和网址进行限制阅读和访问。目前,在V3中,恶意代码诊断如下。 【文件诊断】 Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02) [IOC ] |
|
|
