이메일 하이재킹을 통해 Bumblebee 악성코드 국내 유포 중

ASEC 분석팀은 최근 다운로더 유형의 악성코드인 Bumblebee 가 다수 유포되고 있는 정황을 포착하였다. Bumblebee 다운로더는 피싱 메일을 통해 ISO 파일로 유포되고 있으며, ISO 파일은 바로가기 파일과 악성 dll 파일을 포함하고 있다. 추가로, 이메일 하이재킹을 통해 국내 사용자를 대상으로 유포되는 사례도 확인되었다.

아래는 Bumblebee 다운로더를 유포하는 피싱 메일이다. 해당 메일은 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태이다. 해당 메일을 수신한 사용자의 경우, 정상적인 회신으로 판단하여 큰 의심 없이 첨부파일을 실행할 수 있어 주의가 필요하다. 추가로 확인되고 있는 피싱 메일 또한 이메일 하이재킹 방식을 이용하여 유포되고 있다. 이와 같이 첨부파일을 통한 유포 외에도 메일 본문에 악성 URL 을 포함하여 다운로드를 유도하는 유포 방식도 존재한다. 악성 URL 을 통해 유포하는 방식에는 구글 드라이브를 이용하는 특징이 존재한다.

피싱 메일
피싱 메일 (2)

피싱 메일에 첨부된 압축 파일은 패스워드가 설정되어 있으며, 패스워드는 메일 본문에 표시되어 있다. 파일은 송장, 요청 관련 파일명으로 위장하였으며, 압축 파일 내부에 ISO 파일이 존재하는 것을 확인할 수 있다.

압축 파일 내부
압축 파일 내부 (2)

ISO 파일 실행 시, DVD 드라이브에 lnk 파일과 dll 파일을 생성한다. lnk 파일은 rundll32.exe 를 통해 생성된 악성 dll 파일의 특정 함수를 로드하는 기능을 수행한다. dll 파일은 실제 악성 행위를 수행하는 파일이며, 숨김 속성이 설정되어 있다. 숨김 속성 파일 표시 옵션이 해제되어 있는 사용자의 경우 lnk 파일만 나타나기 때문에 악성 dll 파일의 존재 여부를 모르고 lnk 파일을 실행할 확률이 높다.

  • lnk 명령어
    %windir%\system32\rundll32.exe neval.dll,jpHgEctOOP
ISO 파일 실행 시 생성되는 악성 파일
lnk 속성

최근 확인된 ISO 파일에는 변경된 부분이 존재하는데, lnk 파일과 dll 파일 외 bat 파일이 추가되었다. bat 파일은 기존 lnk 파일과 동일한 기능을 수행하며, 해당 유형에서 lnk 파일은 bat 파일을 실행하는 것으로 명령어가 변경되었다. 이때 dll 파일과 bat 파일은 숨김 속성이 설정되어 있어, 사용자는 lnk 파일만 확인할 수 있는 점은 기존과 동일하다.

  • lnk 명령어
    %windir%\system32\cmd.exe /c start requestpdf.bat
  • bat 명령어
    @start rundll32 da4nos.dll,ajwGwRKhLi
bat 파일이 추가된 최근 유형
lnk 속성

lnk 파일을 통해 실행된 악성 dll 은 패킹된 형태로, 언패킹 과정 후 다수의 anti-sandbox 및 anti-analysis 등의 검사를 진행한다. 다수의 검사 과정 중 일부는 아래와 같으며, 악성코드 분석에 사용되는 프로그램이 실행 중인지, 가상 환경에서 사용되는 파일이 존재하는지, mac 주소를 통해 특정 제조사와 일치하는지를 확인하는 코드이다. 해당 검사 외에도 레지스트리 값, 윈도우 창 이름, 디바이스, 사용자명, 특정 API 존재여부 등을 통해 가상 환경 및 분석 환경인지를 확인하게 된다.

프로세스 검사
파일 검사
MAC 주소 검사

위 과정을 모두 통과하게 되면, 실제 악성 행위를 수행하게 된다. 먼저 인코딩된 형태의 데이터를 디코딩하여 아래와 같이 다수의 C2 정보를 획득한다. 이후 사용자 PC 정보를 수집하여 C2 접속 및 전송을 시도한다.

  • 디코딩된 C2
    73.214.29[.]52:443, 78.112.52[.]91:443, 21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46:443, 101.88.16[.]100:443, 19.71.13[.]153:443, 108.16.90[.]159:443, 103.175.16[.]122:443, 121.15.221[.]97:443, 19.71.13[.]153:443, 22.175.0[.]90:443, 19.71.13[.]153:443, 146.19.253[.]49:443, 38.12.57[.]131:443, 191.26.101[.]13:443
디코딩된 C2

현재 해당 C2 에 연결이 되지 않지만, 연결이 된 경우에 공격자의 명령에 따라 다음과 같은 행위를 수행할 수 있다. %APPDATA% 폴더에 파일명 “my_application_path” 으로 악성 DLL 을 복사 후 복사된 dll 을 실행하는 vbs 파일 생성, 정상 프로그램에 악성 데이터 Injection, C2 로 부터 수신된 악성 데이터를 파일명 “wab.exe” 으로 저장 및 실행 등 다양한 추가 기능이 존재한다.

  • Injection 대상 프로그램
    \\Windows Photo Viewer\\ImagingDevices.exe
    \\Windows Mail\\wab.exe
    \\Windows Mail\\wabmig.exe

최근 Bumblebee 다운로더의 유포 수량이 매우 증가하였으며, Bumblebee 다운로더를 통해 Cobalt Strike 등 의 악성 데이터가 다운로드되는 사례도 존재한다. 또한, 국내 사용자를 대상으로 이메일 하이재킹을 이용한 유포가 확인되어 사용자의 주의가 필요하며, 메일 내 존재하는 첨부 파일 및 URL 은 열람 및 접속을 자제해야한다. 현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02)
Trojan/Win.BumbleBee.R497004 (2022.06.11.01)
Dropper/ISO.Bumblebee (2022.06.13.02)
Trojan/BAT.Runner (2022.06.13.02)
Trojan/LNK.Runner (2022.06.13.02)

[IOC]
11999cdb140965db45055c0bbf32c6ec
b7936d2eed4af4758d2c5eac760baf1d
e50fff61c27e6144823dd872bf8f8762
2c9a4291387fd1472081c9c464a8a470
bfa053445bc5d2950aebaeb881aa8fb4

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments