2022年3月,谷歌威胁分析团队追踪为Conti组织提供初始化访问的团伙时,发现了新的木马家族。该木马与C2服务器通信时会使用特殊代号“bumblebee”作为User-Agent字段,因此将其命名为Bumblebee(大黄蜂)。
在同一时间段内,曾经非常活跃的开门器木马BazarLoader C2活跃节点不断减少,且之前投递BazarLoader木马的多个团伙也开始转向投递Bumblebee木马。二者此消彼长的时间点非常吻合,由此可以认为Bumblebee是取代BazarLoader的下一代开门器木马。
-
Bumblebee木马主要通过伪装成收款单,项目文档等内容的钓鱼邮件进行传播。主要攻击美洲和欧洲地区,对各种制造、互联网、金融等行业均有涉及。虽然国内只有与之相关的企业间接受害,但不排除未来不会被纳入到直接攻击的区域中。 -
Bumblebee木马一直处在开发和营运的状态。在最近版本的木马中新增加了下载执行插件的功能,说明作者开始将木马功能模块化,并为开发更复杂的木马功能载荷做准备。同时对历史样本梳理后发现,至少有3个团伙长期投递使用该木马。 -
Bumblebee木马感染机器后会投递CobaltStrike,Sliver等后渗透木马,并以该主机为落脚点攻击渗透整个域内网络。攻击完成后,黑客团伙会将窃取的登录凭证或访问能力售卖给勒索团伙,投递Conti、Quantum、Diavol等勒索病毒,最终导致敏感文件泄露和主机被勒索。 -
微步情报局通过对该木马通信协议的详细分析并进一步依赖于自有的网络空间测绘系统对全网进行的分析,累计发现了数百台Bumblebee活跃的主控服务器,主要位于美国和欧洲地区,这也与Bumblebee主要攻击的区域相吻合。 -
微步线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对团伙的检测。
2.1团伙画像
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.2攻击流程
2.3技术特点
-
使用比较流行的ZIP-> ISO,VHD -> LNK -> BAT-> DLL序列载荷加载方式;
-
使用WMI调用的方式查询主机敏感信息和创建傀儡进程;
-
选择使用比较冷门的WSS协议(Websocket + TLS/SSL)进行通信,使用JSON而不是二进制字节序列作为网络通信的格式;
-
Bumblebee木马会根据主机所在域不同而下发不同的载荷,当主机在一个有效的域内时,下发CS、Sliver等木马继续渗透域内网络。而当主机所在组名为WORKGROUP工作组时下发Vidar等窃密木马。
2.4资产特点
木马涉及的网络资产主要用于两种功能:一是存储木马载荷,用于受害者主动或被动触发下载到本地;二是在木马成功执行后的接收回连请求,下发执行其他载荷。Bumblebee木马通常使用Google Storage、OneDrive、TransferXL等公开的文件存储和共享服务平台存储木马载荷,将下载链接放在钓鱼邮件中,诱导用户下载执行。
木马的C2回连控制服务地址以IP地址+端口的方式硬编码在样本中,且IP上也未绑定任何域名。当使用浏览器直接访问时,会显示网站证书为非法的自签名证书,而不校验证书访问时会返回”404 page not found”页面。
3.1基本信息
3.2详细分析
加载完成后,木马在动态库入口创建新的线程执行木马逻辑,并且在创建时使用THREAD_CREATE_FLAGS_HIDE_FROM_DEBUGGER 标志位向调试器隐藏该线程,达到反调试的目的。
木马启动执行后会判断执行环境是否为真实环境。木马作者使用以下开源项目al-khaser中的部分代码,通过用户名,硬件信息,进程列表,特殊文件等多种方式检测虚拟机、沙箱和分析环境。
开源项目:
al-khaser(https://github.com/LordNoteworthy/al-khaser)
并且木马会创建一个单独的线程,约每半分钟一次实时监控进程列表中是否存在分析工具的进程,一旦检测到,则结束自身逻辑的执行。
木马连接的C2地址硬编码在样本中,在连接前会使用密钥解密,从而得到一段使用逗号分割的C2地址列表。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.1版本信息
-
由仅支持单个的C2地址升级为支持C2地址列表 -
使用RC4算法加密C2地址列表和受控端与控制端之间的通信流量 -
添加反虚拟机,反沙箱,反分析工具等对抗手段 -
通信协议由HTTPS协议升级为WSS(Websocket + TLS/SSL) -
添加执行命令的功能
并且在最近更新的版本中,木马的控制命令新增了名为“plg”(plugin)的控制命令,并且代码中包含了RPC服务基础代码,推测是为了将木马进行模块化的拆分和实现更为复杂和完善的木马插件功能。
4.2拓线信息
4.3活跃动态
对收集到的历史样本,以“通信密钥”来标识一个木马团体后,整理同一木马团体的组名(木马中硬编码的group_name)发现:
-
这些样本中存在相似的通信密钥(如9Ydun9z3uM和9Ydun9zWUm)和相似的日期组名(如0109为9月1日)。而且具有相似密钥的木马团体之间,组别标定的日期没有明显的重叠,以此可以推测为同一团伙在不同的时间段长期投递该木马。
-
如果认定密钥相似和组名相似的木马为同一团伙投递,那么至少有3个不同的团伙投递使用该木马。
-
对于部分木马团体,比如“BLACK”、“iKInPE9WrB”,在一段时间内拥有非常多且形式不一的组名,说明该团伙在多个不同的行动或渠道中投递该木马。
综上,从木马开发迭代的频率和投递使用情况来看,预计不久以后Bumblebee木马会成为像BazarLoader, Qakbot等流行的开门器木马那样复杂的木马,为其他黑客组织提供开门或分发服务,给企业安全带来更多的威胁和挑战。
行动建议
5.1 威胁处置
-
对于已经感染Bumblebee的机器,根据进程与C2服务器的网络连接或可疑的Regsvr32,rundll32,wab,wabmig,ImagingDevices进程,找到木马进程并将其结束。删除木马进程对应的木马文件以及用于持久化驻留的计划任务等。 -
在清理完Bumblebee木马后,需要查找清除其他Bumblebee分发的病毒威胁,如CobaltStrike,Sliver,Anydesk等后渗透木马或工具。
-
安装可信的EDR或杀毒软件,并保持病毒库更新,确保能够第一时间查杀病毒文件或防御攻击行为。 -
定期更新系统和常见的办公软件,修补已知的安全漏洞。 -
谨慎点击电子邮件中的附件或可疑链接,如果遇到邮件附件文档中有提示启用内容或启用宏的提示,不要选择启用,而是删除文件和对应的邮件,或将文件提交安全管理员处置。 -
对于需要密码登录的账号(如邮箱,网络平台,网上银行等),选择使用强密码并定期更新。如果对应平台支持,最好开启双因素身份认证。如果账号出现未知的异地登录,说明账密或其他凭证信息已经泄露,应该立即修改密码或冻结账号。
公众号内回复“BU”,可获取附录 IOC。
—End—
第一时间获取最新的威胁情报
原文始发于微信公众号(微步在线研究响应中心):解密大黄蜂Bumblebee木马,复盘攻击套路
