KU酷体育app Bumblebee 坏心软件通过电子邮件劫持在韩国传播

时间：2022-06-16 11:29 点击：87 次

ASEC 分析团队最近发现，好多下载器类型的坏心软件 Bumblebee 正在传播。Bumblebee 下载器正在通过汇注垂钓电子邮件当作 ISO 文献分发，该 ISO 文献包含一个快捷风光文献和一个坏心 dll 文献。此外，还证据了通过电子邮件劫持向国内用户分发的案例。

以下是分发 Bumblebee 下载器的汇注垂钓电子邮件。这封电子邮件会截获一封普通的电子邮件，并在恢复用户时附上坏心文献。在收到电子邮件的用户的情况下，判断为普通恢复，不错毫无疑问地扩充附件，因此需要难得。稀奇证据的汇注垂钓电子邮件也正在使用电子邮件劫持行径进行分发。除了通过附件进行传播除外，还有一种传播行径是通过在电子邮件正文中包含坏心 URL 来引导下载。在通过坏心 URL 进行分发的行径中使用 Google Drive 有一个特质。

在垂钓邮件附件的压缩文献中配置了密码，密码清楚在邮件正文中。该文献伪装成发票或苦求关系文献名，可见压缩文献里面存在ISO文献。

扩充 ISO 文献时，会在 DVD 驱动器中创建 lnk 文献和 dll 文献。lnk文献扩充加载通过rundll32.exe创建的坏心dll文献的特定功能的功能。dll 文献是一个履行推造孽意操作并配置了掩藏属性的文献。淌若关闭清楚掩藏属性文献的选项，则只出现lnk文献，因此很有可能在不融会坏心dll文献存在的情况下驱动lnk文献。

lnk 呐喊%windir%\system32\rundll32.exeneval.dll,jpHgEctOOP

最近证据的ISO文献有一些变化，然则除了lnk文献和dll文献除外，还加多了bat文献。bat文献扩充与现存lnk文献磋商的功能，何况lnk文献的呐喊已编削为扩充该类型的bat文献。此时为dll文献和bat文献配置了掩藏属性，是以用户只可稽查lnk文献，和之前同样。

lnk 呐喊%windir%\system32\cmd.exe /c 启动苦求pdf.bat

bat 呐喊@start rundll32 da4nos.dll,ajwGwRKhLi

通过lnk文献扩充的坏心dll是打包体式的，解包后会进行屡次反沙盒和反分析测试。多个查抄经由中的一些如下，它是一个代码，查抄用于坏心代码分析的设施是否正在驱动，假造环境中使用的文献是否存在，以及是否通过mac地址与特定制造商匹配。除了相应的查抄外，还通过注册表值、窗口名、配置、用户名、是否存在特定的API来查抄是假造环境如故分析环境。

淌若上述扫数经由都通过，则扩充了履行的坏心操作。当先，对编码数据进行解码，取得如下的多个C2信息。之后，它通过网罗用户PC信息来尝试运动和传输C2。

解码 C273.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 ：443、101.88.16[.]100:443、19.71.13[.]153:443、108.16.90[.]159:443、103.175.16[.]122:443、121.15.221[.]97：443、19.71.13[.]153:443、22.175.0[.]90:443、19.71.13[.]153:443、146.19.253[.]49:443、38.12.57[.]131：443、191.26.101[.]13:443

现在无法运动关系的C2，但淌若运动生效，不错把柄报复者的提醒进行以下动作。将文献名为“my_application_path”的坏心DLL复制到%APPDATA%文献夹，创建扩充复制的dll的vbs文献，将坏心数据注入普通设施，保存并扩充从C2收受到的文献名坏心数据“wab.exe” 还有多样附加功能，举例

注入盘算设施\\Windows Photo Viewer\\ImagingDevices.exe\\Windows Mail \\wab.exe\\Windows Mail\\wabmig.exe

近期，Bumblebee 下载器数目大幅加多，存在通过 Bumblebee 下载器下载 Cobalt Strike 等坏心数据的案例。另外，国内用户还是证据使用邮件劫持的风光进行分发，需要用户难得，对邮件中的附件和网址进行放胆阅读和拜访。现在，在V3中，坏心代码会诊如下。

【文献会诊】

Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02)木马/Win.BumbleBee.R497004 (2022.06.11.01)Dropper/ISO.Bumblebee (2022.06.13.02)木马/BAT.Runner (2022.06.13.02)木马/LNK.Runner (2022.06.13.02)

[IOC ]11999cdb140965db45055c0bbf32c6ecb7936d2eed4af4758d2c5eac760baf1de50fff61c27e6144823dd872bf8f87622c9a4291387fd1472081c9c464a8a4caed20bfa

精彩保举

CISA公布新盘曲，不错费事解锁轻易门锁

2022.06.14