Новый поток заражения Bumblebee (как правило) начинается с первоначального запроса на контакт, отправленного через веб-форму.
Bumblebee Loader
- После получения ответа по электронной почте (даже просто автоответчика из офиса или другого автоответчика) субъект угрозы продолжает действовать.
- Теперь может происходить краткий обмен письмами туда и обратно, цель которого - завоевать доверие получателя.
- Вскоре субъект угрозы предложит назначить встречу по телефону (при этом он, скорее всего, не собирается на нее приходить).
- Далее агент угроз предполагает, что получатель, возможно, захочет ознакомиться с деталями проекта до телефонного разговора.
- Вскоре после этого получатель получает электронное письмо, отправленное с одного из нескольких файлообменных сервисов.
- В письме содержится ссылка для загрузки "подробностей проекта" - отсюда легко догадаться об остальной части истории.
- Однако есть еще одна странность - файл для загрузки имеет имя "<companyname>.vhd".
- Файл .vhd обычно представляет собой файл виртуального жесткого диска для (в основном) Windows Virtual PC.
- По сути, это просто сжатый файл, и здесь он используется именно в таком виде.
- После распаковки файл содержит файл .lnk и сценарий Powershell (это должно быть знакомо).
- Файл .lnk запускает сценарий Powershell.
- Сценарий PowerShell обфусцирован и разбит на несколько больших блоков base64 (блоки также, похоже, сжаты).
BumbleBee Loader IOCs
- Bumblebee Loader IOCs
- Bumblebee Malware IOCs - Part 4
- Bumblebee Malware IOCs - Part 3
- Bumblebee Malware IOCs
- BumbleBee Loader IOCs - Part 5
- BumbleBee Loader IOCs - Part 6
- Bumblebee Loader IOCs - Part 7
Indicators of Compromise
MD5
- 3c8c6095d53bd4287d6398f2831befbb
- 4166dc23c9ffb1fe465288801da97ca9
- 3e8de058c3430e7208adf50ee922d047
Emails
- delivery@spaces.hightailmail.com