Bumblebee恶意软件通过电子邮件劫持在韩国传播

在钓鱼邮件附件的压缩文件中设置了密码，密码显示在邮件正文中。该文件伪装成发票或请求相关文件名，可见压缩文件内部存在ISO文件。

执行 ISO 文件时，会在 DVD 驱动器中创建 lnk 文件和 dll 文件。lnk文件执行加载通过rundll32.exe创建的恶意dll文件的特定功能的功能。dll 文件是一个实际执行恶意操作并设置了隐藏属性的文件。如果关闭显示隐藏属性文件的选项，则只出现lnk文件，因此很有可能在不知道恶意dll文件存在的情况下运行lnk文件。

lnk 命令
%windir%\system32\rundll32.exeneval.dll,jpHgEctOOP

最近确认的ISO文件有一些变化，但是除了lnk文件和dll文件之外，还增加了bat文件。bat文件执行与现有lnk文件相同的功能，并且lnk文件的命令已更改为执行该类型的bat文件。此时为dll文件和bat文件设置了隐藏属性，所以用户只能查看lnk文件，和之前一样。

lnk 命令
%windir%\system32\cmd.exe /c 启动请求pdf.bat

bat 命令
@start rundll32 da4nos.dll,ajwGwRKhLi

通过lnk文件执行的恶意dll是打包形式的，解包后会进行多次反沙盒和反分析测试。多个检查过程中的一些如下，它是一个代码，检查用于恶意代码分析的程序是否正在运行，虚拟环境中使用的文件是否存在，以及是否通过mac地址与特定制造商匹配。除了相应的检查外，还通过注册表值、窗口名、设备、用户名、是否存在特定的API来检查是虚拟环境还是分析环境。

如果上述所有过程都通过，则执行了实际的恶意操作。首先，对编码数据进行解码，得到如下的多个C2信息。之后，它通过收集用户PC信息来尝试连接和传输C2。

解码 C2
73.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 ：443、101.88.16[.]100:443、19.71.13[.]153:443、108.16.90[.]159:443、103.175.16[.]122:443、121.15.221[.]97：443、19.71.13[.]153:443、22.175.0[.]90:443、19.71.13[.]153:443、146.19.253[.]49:443、38.12.57[.]131：443、191.26.101[.]13:443

目前无法连接相关的C2，但如果连接成功，可以根据攻击者的指令进行以下动作。将文件名为“my_application_path”的恶意DLL复制到%APPDATA%文件夹，创建执行复制的dll的vbs文件，将恶意数据注入正常程序，保存并执行从C2接收到的文件名恶意数据“wab.exe” 还有各种附加功能，例如

注入目标程序
\\Windows Photo Viewer\\ImagingDevices.exe
\\Windows Mail \\wab.exe
\\Windows Mail\\wabmig.exe

近期，Bumblebee 下载器数量大幅增加，存在通过 Bumblebee 下载器下载 Cobalt Strike 等恶意数据的案例。另外，国内用户已经确认使用邮件劫持的方式进行分发，需要用户注意，对邮件中的附件和网址进行限制阅读和访问。目前，在V3中，恶意代码诊断如下。

【文件诊断】

Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02)
木马/Win.BumbleBee.R497004 (2022.06.11.01)
Dropper/ISO.Bumblebee (2022.06.13.02)
木马/BAT.Runner (2022.06.13.02)
木马/LNK.Runner (2022.06.13.02)

[IOC]
11999cdb140965db45055c0bbf32c6ec
b7936d2eed4af4758d2c5eac760baf1d
e50fff61c27e6144823dd872bf8f8762
2c9a4291387fd1472081c9c464a8a4caed20bfa