BumbleBee是一种新的恶意加载程序,由 Google TAG 于 2022 年 3 月首次报告,多个初始访问代理(IAB) 正在使用它 在受害者的网络中获得初步立足点。
最近几周,在野外观察到许多分发 BumbleBee 的活动,成功的妥协通常会 导致勒索软件攻击。事实上,观察到几个勒索软件团伙(Conti、LockBit、AvosLocker、Diavol)的附属机构提供 BumbleBee 以 投放另一个有效载荷 (Cobalt Strike、Meterpreter、Sliver、IcedID、Redline 等)并部署勒索软件。此外, SEKOIA.IO 分析师观察到该恶意软件仍在 开发 新功能和改进中。所有这些原因使得BumbleBee加载程序成为企业当前必须应对的主要威胁。
SEKOIA.IO 分析师自 2022 年 4 月上旬以来一直在跟踪这一威胁,发现 活跃的 BumbleBee C2 服务器和观察到的样本数量显着增加。对多个 BumbleBee 样本的分析使我们能够 确定 产品的多个版本和改进。
在本节中,我们将简要描述用于交付 BumbleBee 加载程序的典型感染链。然后,我们将分享有关对最新版本的恶意软件所做的修改的技术细节,以及我们如何跟踪活动的 C2 服务器和恶意软件样本。
在进入技术细节之前,BumbleBee 恶意软件是一个复杂的加载程序,旨在下载并执行第二个有效载荷。它实施了多种防御和规避技术来躲避检测系统,并使安全研究人员更难分析有效负载。
大多数分发 BumbleBee 加载器的鱼叉式网络钓鱼活动都使用相同的攻击模式:向受害者发送一封电子邮件,其中包含一个包含 ISO 文件的 ZIP 存档。攻击链的开始包括使用一个 ISO 文件,该文件包含用于执行有效负载 (DLL) 的 Windows 链接 (LNK)。
在以下示例中,ISO 文件包含两个文件:
一个 LNK 文件New Folder.lnk
由 LNK 文件执行的 DLL
如下图所示,当执行LNK文件时,它会运行下面的命令来启动恶意DLL使用 rundll32.exe
: C:\\Windows\\System32\\rundll32.exe procsvc.dll,HWgullOFkZ
图 1. 来自分发 BumbleBee 的鱼叉式网络钓鱼活动的附件示例(未压缩的 ISO 文件)
这种感染越来越多地被各种参与者使用:APT(例如:NOBELIUM)、IAB(分发 IcedID、BazarLoader、BumbleBee 等)和其他威胁参与者。这种趋势似乎是 Microsoft Office 产品中默认禁用 VBA 宏的结果,这是对手进入网络最常用的技术之一(通过 Office 宏执行代码)。
BumbleBee DLL 使用加密器对加载到新内存部分的另一个 PE 进行去混淆处理。这个特定部分很容易识别:在“DOS 模式”的调试器中进行简单的模式搜索可以突出显示新分配的具有读写执行权限的内存。
一旦新部分被转储,BumbleBee 有效负载就可以被分析。首先,值得注意的是,该恶意软件几乎使用了 al-khaser github 项目的完整复制/粘贴,如其他文章或相关 BumbleBee 讨论中所述。al-khaser 代码实施了几种反检测技术。下图显示,如果发现其中一个反虚拟环境,BumbleBee 有效负载的主要功能将避免执行。
图2. BumbleBee 代码中的反虚拟机检查
一旦加载的 PE 准备就绪并通过反 VM 检查,恶意软件就会使用 .data RC4 算法使用以明文形式存储在该部分中的密钥解密其命令和控制 (C2) IP 地址。此解密例程还用于对其活动 ID 进行去混淆处理。
图3. BumbleBee 加载程序中的反混淆例程
在我们调查的大多数有效载荷中,三个数据块使用 RC4 进行了混淆处理:
C2 IP 地址及其关联端口的列表
活动标识符,其他分析师将此 ID 识别为僵尸网络 ID
一个数字(通常是 444 或 4444)
图4. 在 CyberChef 中获取混淆数据的方法
一旦 C2 IP 地址被反混淆,恶意软件就会联系其 C2 之一,然后加载最终的有效负载(Meterpreter、Cobalt Strike 或其他)。
在 2022 年 4 月分析的初始 BumbleBee 版本中,恶意软件没有实施任何 C2 混淆:IP 地址以明文形式存储在 PE 中。这种演变表明 BumbleBee 仍在开发中。
注意:我们观察到在我们分析的样本数据集中大量使用了键“ BLACK”以及键“ iKInPE9WrB”
跟踪 BumbleBee C2 基础设施与 BazarLoader、Qakbot 和 IcedID 等其他僵尸网络没有太大区别。用于 BumbleBee C2 服务器的 SSL 证书非常具体。在对恶意软件样本进行一些分析后,并借助互联网连接设备的搜索引擎,我们能够识别出一种常见且独特的模式来查找 BumbleBee C2 服务器。最后的启发式基于 SSL 证书和 HTTP 响应。
启发式结果有所增加,从 4 月初的 5 个 C2 服务器增加到撰写此 FLINT 时的 130 多个,如下图所示。
图5.按日期划分的活跃 BumbleBee C2 服务器数量
这表明 BumbleBee 加载程序在威胁参与者中越来越受欢迎,特别是对于初始访问代理。
大黄蜂的 SHA-25e2147cb6039d1b065b0d59d6e60a1e5f526415afefdfddcbbd7b1e8a33194d64
064d21a62fc8718a707c3cf6ca91fddeb2fd407dfee47a923638a91a57b338a4
7140becbc882cab84038ad87e977cd3cb0dc864d2437eb1e2aebab78cc3eb193
0f78561577ce1a5ab8b98634fb9b2ff0392e173fb354e3625f6bab53e0f28b05
94f7bc1e910866c5ed1b06242e82c8d5379d143123ff255b87fc78db98c49ae2
2ca8fcce17d0ca5dc6c260c34b14b969fbc20c4a4520e19aed0a0be23a199243
7b3a33baf89095f9b7d2be8dfa184c274e7f27a05a7e57faf8b32882a60bfe5c
3a2112ed78bbec16929d9f39aca09efe2eb44abb80bbfa765e451a87aef84a99
85019644110b9473b93e3757ed9b324666ac515a1b91afdfbc3b17241b2d9376
873aa6d30e38c79b478eb04a83104bb31fd62989d3cca4b61164065038dadd29
7413426f5afd78b7abc0ca0a3035c2f8578c41e18548ad530ead3ee93f638a3c
86984171de311b006bc86780e5a415b3698edb864d42e72f851a7d64c2656748
9d6808021c1336763e212c787a669eb0400b089e586457b88373dd87dfcf41c9
ea6690f028157aec343e21484eab136379e35c6296b3e8eab4a7ba7bdfe13e5d
8709e8dfe6bf8b8fdc91c342fc2da948d5b77b05e7a6dba79866f42dfe8ca04b
1389ec4bde4a8970e95d8a48438395578ae81e0649f33c5ca0febe062e
56712c fad36c037c93c48ef5cdf31b8ed31e452a100ad14b75dce88597ef1eea
YARA规则
rule loader_win_bumblebee {
meta:
version = "1.0"
malware = "BumbleBee"
reference = "https://blog.sekoia.io/bumblebee-a-new-trendy-loader-for-initial-access-brokers/"
source = "SEKOIA.IO"
classification = "TLP:WHITE"
strings:
$str0 = { 5a 00 3a 00 5c 00 68 00 6f 00 6f 00 6b 00 65 00 72 00 32 00 5c 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 5c 00 6d 00 64 00 35 00 2e 00 63 00 70 00 70 00 } // Z:\hooker2\Common\md5.cpp
$str1 = "/gates" ascii
$str2 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
condition:
uint16be(0) == 0x4d5a and all of them
}
[Google] 公开与 Conti 有联系的初始访问代理https://blog.google/threat-analysis-group/exposing-initial-access-broker-ties-conti/
[Cynet] 猎户座威胁警报:大黄蜂的飞行https://www.cynet.com/blog/orion-threat-alert-flight-of-the-bumblebee/
[Eli Salem's Medium] 大黄蜂编年史:钩子、蜜蜂和 Trickbot 的联系https://elis531989.medium.com/the-chronicles-of-bumblebee-the-hook-the-bee-and-the-trickbot-connection-686379311056
[Proofpoint] 这不是擎天柱的大黄蜂,但它仍在转变https://www.proofpoint.com/us/blog/threat-insight/bumblebee-is-still-transforming
[Github] Al-Khaser v0.81
https://github.com/LordNoteworthy/al-khaser