Bumblebee Loader IOCs - Part 8

security IOC

Новый поток заражения Bumblebee (как правило) начинается с первоначального запроса на контакт, отправленного через веб-форму.

Bumblebee Loader

  • После получения ответа по электронной почте (даже просто автоответчика из офиса или другого автоответчика) субъект угрозы продолжает действовать.
  • Теперь может происходить краткий обмен письмами туда и обратно, цель которого - завоевать доверие получателя.
  • Вскоре субъект угрозы предложит назначить встречу по телефону (при этом он, скорее всего, не собирается на нее приходить).
  • Далее агент угроз предполагает, что получатель, возможно, захочет ознакомиться с деталями проекта до телефонного разговора.
  • Вскоре после этого получатель получает электронное письмо, отправленное с одного из нескольких файлообменных сервисов.
  • В письме содержится ссылка для загрузки "подробностей проекта" - отсюда легко догадаться об остальной части истории.
  • Однако есть еще одна странность - файл для загрузки имеет имя "<companyname>.vhd".
  • Файл .vhd обычно представляет собой файл виртуального жесткого диска для (в основном) Windows Virtual PC.
  • По сути, это просто сжатый файл, и здесь он используется именно в таком виде.
  • После распаковки файл содержит файл .lnk и сценарий Powershell (это должно быть знакомо).
  • Файл .lnk запускает сценарий Powershell.
  • Сценарий PowerShell обфусцирован и разбит на несколько больших блоков base64 (блоки также, похоже, сжаты).

BumbleBee Loader IOCs

Indicators of Compromise

MD5

  • 3c8c6095d53bd4287d6398f2831befbb
  • 4166dc23c9ffb1fe465288801da97ca9
  • 3e8de058c3430e7208adf50ee922d047

Emails

  • delivery@spaces.hightailmail.com
SEC-1275-1
Добавить комментарий