ASEC 分析チームは、最近になってダウンローダー型のマルウェアである Bumblebee が活発に配布されている状況を捕捉した。Bumblebee ダウンローダーはフィッシングメールを通して ISO ファイルとして配布されており、ISO ファイルにはショートカットファイルと不正な dll ファイルが含まれている。さらに、韓国国内のユーザーをターゲットに、電子メールをハイジャックしてファイルを配布する事例も確認されている。
以下は Bumblebee ダウンローダーを配布しているフィッシングメールである。当該メールは、正常なメールをハイジャックして不正なファイルを添付し、ユーザーに返信している形をとっている。この返信メールを受信したユーザーは、正常な返信メールだと判断し、特に疑うことなく添付ファイルを実行してしまう可能性があり、注意する必要がある。追加で確認されているフィッシングメールも、電子メールをハイジャックして配布されている。このように添付ファイルを通して配布される以外にも、メール本文に不正な URL を記載してダウンロードするように誘導する方法も存在している。不正な URL を通して配布される方法においては、Google ドライブを利用するといった特徴がある。


フィッシングメールに添付されている圧縮ファイルには、パスワードが設定されており、パスワードはメール本文に記載されている。ファイルは、送り状やリクエスト書類と関連した名前に偽装されており、圧縮ファイル内に ISO ファイルが存在していることが確認できる。


ISO ファイルの実行時、DVD ドライブに lnk ファイルと dll ファイルを生成する。lnk ファイルは、rundll32.exe によって生成された不正な dll ファイルの特定関数をロードする機能を担っている。dll ファイルは、実際に不正な振る舞いを実行するファイルであり、隠し属性に設定されている。隠し属性ファイルの表示オプションが解除されているユーザーの場合、lnk ファイルのみが表示されるため、不正な dll ファイルの存在について認知することなく、lnk ファイルを実行してしまう可能性が高い。
- lnk コマンド
%windir%\system32\rundll32.exe neval.dll,jpHgEctOOP


最近確認された ISO ファイルにおいては、変更された部分があり、lnk ファイルと dll ファイルのほかに bat ファイルが追加されている。bat ファイルは、従来の lnk ファイルと同じ機能を担っているが、最近のタイプでは lnk ファイルが bat ファイルを実行するようにコマンドが変更されている。この時、dll ファイルと bat ファイルは隠し属性になっており、ユーザーが lnk ファイルのみを確認できる点は、従来と同様である。
- lnk コマンド
%windir%\system32\cmd.exe /c start requestpdf.bat - bat コマンド
@start rundll32 da4nos.dll,ajwGwRKhLi


lnk ファイルによって実行された不正な dll はパックされた状態であり、展開してから様々な anti-sandbox および anti-analysis などのスキャンを行う。多くのスキャンプロセスの一部は以下の通りであり、これはマルウェア解析に使用されるプログラムが実行中であるか、仮想環境で使用されるファイルが存在しているか、mac アドレスから特定の製造元と一致するかについて確認するコードである。このようなスキャン以外にも、レジストリ値、Windows ポップアップ名、デバイス、ユーザー名、特定の API の存在有無などから、仮想環境や解析環境であるかを確認している。



上記プロセスをすべてクリアすると、実際の不正な振る舞いを実行する。まず、エンコードされたデータをデコードし、以下のように多くの C2 情報を獲得する。その後、ユーザーの PC 情報を収集し、C2 にアクセス、および送信を試みる。
- デコードされた C2
73.214.29[.]52:443, 78.112.52[.]91:443, 21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46:443, 101.88.16[.]100:443, 19.71.13[.]153:443, 108.16.90[.]159:443, 103.175.16[.]122:443, 121.15.221[.]97:443, 19.71.13[.]153:443, 22.175.0[.]90:443, 19.71.13[.]153:443, 146.19.253[.]49:443, 38.12.57[.]131:443, 191.26.101[.]13:443

現在は当該 C2 に接続できないが、接続できた場合、攻撃者の命令に従い、以下のような振る舞いを実行することができる。%APPDATA% フォルダーに、ファイル名を「my_application_path」とした不正な DLL をコピーし、その dll を実行する vbs ファイルを生成する。または、正常なプログラムに不正なデータ Injection、C2 から受信した不正なデータをファイル名を「wab.exe」として保存して実行するなど、様々な追加機能が存在する。
- Injection 対象のプログラム
\\Windows Photo Viewer\\ImagingDevices.exe
\\Windows Mail\\wab.exe
\\Windows Mail\\wabmig.exe
最近では、Bumblebee ダウンローダーの配布数が際立って増加しており、Bumblebee ダウンローダーによって Cobalt Strike などの不正なデータがダウンロードされる事例も存在している。また、韓国国内のユーザーをターゲットに電子メールハイジャックを利用した配布事例も確認されているため、ユーザーは注意する必要があり、メール内に存在する添付ファイルや URL の閲覧およびアクセスは控えなければならない。現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02)
Trojan/Win.BumbleBee.R497004 (2022.06.11.01)
Dropper/ISO.Bumblebee (2022.06.13.02)
Trojan/BAT.Runner (2022.06.13.02)
Trojan/LNK.Runner (2022.06.13.02)
[IOC]
11999cdb140965db45055c0bbf32c6ec
b7936d2eed4af4758d2c5eac760baf1d
e50fff61c27e6144823dd872bf8f8762
2c9a4291387fd1472081c9c464a8a470
bfa053445bc5d2950aebaeb881aa8fb4
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/35437/ […]