大黄蜂：新装载机迅速在网络犯罪生态系统中占据中心位置

最近开发的恶意软件加载程序——“大黄蜂”已迅速成为各种网络犯罪攻击的关键组成部分，并且似乎已经取代了一些较旧的加载程序。上述迹象表明这是老牌参与者的工作，向大黄蜂的过渡是预先计划好的。

通过分析最近涉及大黄蜂的攻击中使用的其他三种工具，可以发现Symantec的威胁猎人团队是Broadcom Software的一部分，并且该团队已将该工具与包括Conti、Quantum和Mountlocker在内的一些勒索软件操作联系起来。这些旧攻击中使用的战术、技术和程序（TTP）支持了大黄蜂可能被引入作为Trickbot和BazarLoader的替代装载机的假设，因为最近涉及大黄蜂的活动与与这些装载机相关的旧攻击之间存在一些重叠。

大黄蜂和量子：大黄蜂在勒索软件攻击中的作用

最近一次涉及量子勒索软件的攻击向研究者展示了攻击者现在如何利用大黄蜂来输送绑定勒索软件。

最初的感染载体是一封带有ISO文件的附件的鱼叉式网络钓鱼电子邮件。该ISO文件包含一个Bumblebee DLL文件和一个LNK文件，这些文件通过rundll32.exe加载Bumblebee DLL文件。

l rundll32.exe teas.dll，kXlNkCKgFC

大黄蜂支持多个命令，例如用于机器人持久性的“Ins”，用于DLL注入的“Dij”和用于下载可执行文件的“Dex”。

大黄蜂接入了命令和控制（C&C）服务器（45.153.243.93），并在%APPDATA%文件夹中创建了一个随机名称的副本，并在同一位置创建了一个VBS文件用以加载%APPDATA% DLL文件。再使用Bumblebee "Ins"命令创建计划任务，每15分钟运行一次VBS文件。

l wscript.exe     CSIDL_COMMON_APPDATA\e147c18f9167cd0f\f30b25c870238567.vbs

l CSIDL_SYSTEM\rundll32.exe" CSIDL_COMMON_APPDATA\e147c18f9167cd0f\f30b25c870238567.dll

在运行几个小时后，大黄蜂使用“Dex”命令在%APPDATA%的位置植入并运行名为“wab.exe”的钴打击有效负载。它还运行了“systeminfo”命令。

l wmiprvse.exe --> wab.exe

l wmiprvse.exe --> wab.exe --> cmd.exe /C 系统信息

然后，大黄蜂使用“Dij”命令将Metasploit DLL注入合法进程“ImagingDevices.exe”，这是一个Windows照片查看器可执行文件。除此之外，使用“Dij”命令，大黄蜂将钴打击有效负载注入合法的“wab.exe”，这是一个Windows Mail可执行文件。然后，Bumblebee使用“Dij”命令放弃了AdFind工具，并试图找出与域相关的信息，如域信任、域用户、域组和组权限等。

此时，大黄蜂使用“Dij”命令放弃了量子勒索软件。攻击者使用DLL和EXE有效负载来加密文件。

l rundll32.exe CSIDL_COMMON_APPDATA\2429189468.dll，启动\shareall \nolog

l CSIDL_COMMON_APPDATA\2431789750.exe /shareall /NOLOG

Quantum使用WMI收集系统信息和用户信息。它还检查与SQL相关的服务，如果发现它们正在运行，则停止它们。Quantum还检查与恶意软件分析相关的一些流程，如procmon、wireshark、cmd、任务管理器和记事本，如果发现它们正在运行，则终止它们。

链接1：AdFind连接

最近大黄蜂攻击中使用的工具频繁出现在旧的攻击中，这些工具早于大黄蜂的出现。在2022年5月中旬开始的一系列涉及大黄蜂的攻击中，攻击者还部署了AdFind版本（SHA256：b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682）AdFind是查询Active Directory的公开工具，近年来已被一系列威胁行为者广泛使用。

与前面提到的示例类似，附加到网络钓鱼电子邮件中的恶意ISO文件是最初的感染载体，攻击者部署合法的ConnectWise远程桌面软件（以前称为ScreenConnect）以及另一个合法的远程访问工具Atera和Meterpreter。Meterpreter是Metasploit框架中的一个扩展模块，作为溢出成功以后的攻击载荷使用，攻击载荷在溢出攻击成功以后返回一个控制通道。在所有情况下，攻击从未达到有效载荷阶段。然而，其他攻击中使用的TTP的相似之处表明，勒索软件是预期的有效载荷。

这个版本的AdFind早在2021年6月的大黄蜂发动的攻击中就出现了，在那里它与Cobalt Strike一起用于交付Avaddon勒索软件。

2021年8月，它在一次失败的勒索软件攻击中再次出现，当时它与其他一些合法软件包一起使用，包括公开的远程桌面工具AnyDesk、另一个远程桌面工具Splashtop和公开可用的存档工具7-Zip。在部署勒索软件有效载荷之前，攻击就停止了。

在2022年5月的另一次失败的勒索软件攻击中，这种AdFind的变体也被部署了。同样，攻击者将Atera与Splashtop和AnyDesk结合使用。攻击者们部署了广泛使用的凭证倾倒工具Mimikatz和LaZagne，以及NetScan网络扫描仪。攻击者还使用了名为cve-2021-34527.ps1的PowerShell脚本，该脚本之前已链接到Conti泄露的攻击手册。

这个版本的AdFind也出现在2022年5月涉及量子勒索软件的攻击中。攻击者还使用了钴打击；Ligolo，一种为渗透测试目的创建的公开隧道工具，但已被一些间谍和勒索软件参与者使用；ProcDump用于凭证倾倒；以及Rclone，一种合法的开源工具，可以合法地用于管理。

最近，同一版本的AdFind被用于试图交付Diavol有效载荷的攻击。攻击者使用的初始装载机没有被发现，但与大黄蜂活动的AdFind链接表明，攻击者可能使用了它。

链接2：adf.bat

2022年6月初，大黄蜂被用于一次失败的攻击。虽然有效载荷没有部署，但TTP使用了建议的勒索软件。攻击者使用名为adf.bat的批处理脚本（SHA256：1e7737a57552b0b32356f5e54dd84a9ae85bb3acff05ef5d52aabaa996282dfb）以及前面提到的AdFind版本（SHA256：b1102ed4bca6da）

这个adf.bat脚本至少自2021年以来就一直被用于攻击。例如，在2021年9月，该文件部署在似乎试图攻击的勒索软件中。它与前面提到的AdFind版本（SHA256：b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682）一起使用。Cobalt Strike；以及最初为渗透测试开发的开发的框架PowerSploit。

该脚本还用于2021年11月的另一次受挫勒索软件攻击，再次与之前提到的AdFind版本一起使用。攻击者再次使用了一些公开可用的工具，包括Atera agent和Splashtop，以及Cobalt Strike。虽然没有发现交付机制，但使用的一些基础设施之前与BazarLoader使用的基础设施存在关联。BazarLoader与Trickbot一起是Miner网络犯罪集团（又名巫师蜘蛛）使用的主要恶意软件之一。两者都经常被用作该集团勒索软件家族（Ryuk和Conti）交付机制的一部分。

链接3：find.exe/adfind.exe

AdFind的第三个版本（SHA256：9d0fa4b88e5b36b8801b55508ab7bc7cda9909d639d70436e972cb3761d34eda）也用于最近涉及大黄蜂的攻击。该工具已用于勒索软件攻击至少一年。

2021年5月，它与Cobalt Strike被用于一起试图对一个大型电子组织的勒索软件攻击。这次攻击的一个特点是，攻击者在一些受损的计算机上安装了VirtualBox VM。虽然没有检索到虚拟机映像，但勒索软件有效负载似乎位于虚拟机上，并在操作系统完全启动后运行。虚拟机可以访问主机计算机的文件和目录（通过runner.exe设置的“共享文件夹”），允许它加密主机上的文件。虽然没有识别有效载荷，但有一些与Conti和Mountlocker勒索软件操作的链接。

在2021年5月的另一次攻击中，它再次与Cobalt Strike一起用于针对美国一个组织的另一次流产勒索软件攻击。虽然有效载荷没有部署，但一些TTP与早期的Conti攻击有关。

同样在2021年5月，这个版本的AdFind与Cobalt Strike一起被用来攻击加拿大的一个组织。在这种情况下，使用了Conti勒索软件。

合法软件的使用增加

除了大黄蜂与一系列勒索软件攻击的链接外，许多调查攻击之间的另一个共同点是，在勒索软件攻击期间部署的合法软件工具占优势。ConnectWise、Atera、Splashtop和AnyDesk等远程桌面工具经常出现在勒索软件调查中。此外，Rclone现在被广泛用于数据泄露目的。

最近，Symantec看到攻击者在攻击中使用AvosLocker勒索软件中使用了PDQ Deploy。PDQ Deploy是一个合法的软件包，除了部署自定义脚本外，用户还可以管理多个软件包上的补丁。AvosLocker至少有一个附属公司现在正在使用它，其在受害者网络上的多台计算机上使用PowerShell Empire执行恶意PowerShell命令来部署AvosLocker有效负载。

大黄蜂的威胁

大黄蜂与一些备受瞩目的勒索软件操作的链接表明，它现在处于网络犯罪生态系统的中心。任何在其网络上发现大黄蜂感染的组织都应该高度优先处理这一事件，因为它可能是通往几种危险勒索软件威胁的途径。

妥协指标

如果IOC是恶意的，并且该文件可供我们使用，Symantec端点产品将检测并阻止以下文件。

6804cff68d9824efeb087e1d6ff3f98ed947f002626f04cf8ae7ef26b51e394b - Bumblebee

daf055e5c7f843a3dbe34c3c7b848e5bbe9c53b65df2556b4b450390154af3bb - Bumblebee

7259b7a91df7c9bc78b0830808fe58c6ff66aa79bb856cf1bf50a107875b3651 - Bumblebee

ac20f3f9ed0c1e6b2160976a1dc4167e53fbb8c71b4824a640131acf24c71bfd - Bumblebee

71f91acc6a9162b600ff5191cc22f84a2b726050a5f6d9de292a4deeea0d9803 - Bumblebee

f06566e1e309123e03a6a65cdfa06ce5a95fdd276fb7fcbcb33f5560c0a3cd8c - Cobalt Strike

2e349b3224cc0d958e6945623098c2d28cc8977e0d45480c0188febbf7b8aa78 - Bumblebee

302a25e21eea9ab5bc12d1c5f9e5c119619e617677b307fe0e3044c19581faea - 可能的Bumblebee

65e205b500160cbec44911080621d25f02ad7fcfcf2c3e75ce33f6f821a808b8 - 与Bumblebee相关DLL

905e87d8433fa58f3006ee685bb347024b46550a3ceda0777016f39e88519142 - 与Bumblebee相关DLL

6727d493d4ecc8cca83ed8bf7af63941175decff7218e599355065ae6c9563c4 - 与Bumblebee相关DLL

c8db63bfab805179a1297f8b70a90a043581c9260e8c97725f4920ab93c03344 - 与Bumblebee相关DLL

261b06e30a4a9960e0b0ae173486a4e456c9bd7d188d0f1c9c109bb9e2281b59-与Bumblebee相关DLL

24bf01c1a39c6fcab26173e285d226e0c2dcd8ebf86f820f2ba5339ac29086e5 - 与Bumblebee相关DLL

86d7f7b265aae9eedb36bc6a8a3f0e8ec5fa08071e2e0d21774a9a8e3d4ed9e7 - 与Bumblebee相关DLL

4c3d85e7c49928af0f43623dcbed474a157ef50af3cba40b7fd7ac3fe3df2f15 - 未经证实的可能的虚拟机检测工具

b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682 - AdFind

9d0fa4b88e5b36b8801b55508ab7bc7cda9909d639d70436e972cb3761d34eda - AdFind

af.bat 1e7737a57552b0b32356f5e54dd84a9ae85bb3acff05ef5d52aabaa996282dfb - af.bat

adf.bat 5a1b3f9589b468a06e9427eae6b0a855d1df6cb35ab71ddbfa05279579e9cda3 - adf.bat

ee5fbc193f875a2b8859229508ca79a2ffe19d8a120ae8c5ca77b1d17233d268 - wab.exe

5ad4fa74e71fb4ce0a885b1efb912a00c2ce3c7b4ad251ae67e6c3a8676ede02 - wabmig.exe

02ea7b9948dfc54980fd86dc40b38575c1f401a5a466e5f9fbf9ded33eb1f6a7 - wabmig.exe

b722655b93bcb804802f6a20d17492f9c0f08b197b09e8cd57cf3b087ca5a347 - imagingdevices.exe

a60136d7377bc1ba8c161021459e9fe9f49c692bf7b397fea676211a2da4444d - 恶意MSI 文件

86c564e9fb7e45a7b0e03dd5a6e1c72b7d7a4eb42ebe6aa2e8f8a7894bed4cb5 - VBS 文件

1825e14e1ea19756b55b5ccec5afbb9c2dba0591403c553a83c842bb0dd14432 - ConnectWise

3dea930cfb0ea48c2ce9f7a8bd98ee37e2feca5fb4da8844890fa2d4f62dd105 - Atera

52f145a4ccc0f540a130bedbf04370a842daff1ee8d8361c75a8e0d21a88cf5a - Atera

update.exe 3b7512cfa21bd65bd5beecc8cb859ab4f7f5538f3caaf0703a68ec14389b357a - ConnectWise

4c6a865771fdb400456b1e8bc9198134ac9d2f66f1654af42b4b8fc67ae018f2 - ConnectWise

fef7d54d6c09a317d95300d10ffcc6c366dbb8f5ebf563dec13b509fff361dc1 - ConnectWise

165b491e5b9e273a61c16de0f592e5047740658c7a2e3047f6bf518a17e59eca - ConnectWise

a8faf08997e11a53f9d38797d997c51c1a3fcf89412c3da8dcca6631c6f314a8 - ConnectWise

01e22210e07708c0b9a0061d0f912041808e48bb8d59f960b545d0b9e11d42d2 - ConnectWise

f5218aaa046776a12b3683c8da4945a0c4c0934e54802640a15152d9dae15d43 - ConnectWise

bc41569c4c9b61f526c78f55993203806d09bb8c3b09dbbeaded61cd1dc2fcc2 - caexec.exe（可能类似于PAExec）

29767c912919cb38903f12c7f41cdd1c5f39fccb9641302c97b981e4b5e31ee5 - vSphere PowerCLI组件

911c152d4e37f55bd1544794cc324364b6f03aff118cdf328127355ccc25282a - vSphere PowerCLI组件

f5cd44f1d72ef8fc734c76ca62879e1f1cb4c0603cfdc0b85b5ad6ad8326f503 - vSphere PowerCLI组件

0650722822e984da41d77b90fbd445f28e96a90af87043581896465c06ed1e44 - ConnectWise

f01a3f2186e77251acfac9d53122a1579182bde65e694487b292a8e09cf8d465 - Cobalt Strike

290b698d41525c4c74836ca934c0169a989a5eafde7208d90300a17a3f5bd408 - Ransom.Quantum

3d41a002c09448d74070a7eb7c44d49da68b2790b17337686d6dd018012db89d - Ransom.Quantum

51.68.146.200 - AS16276 OVH SAS

154.56.0.221 - AS60602 Inovare-Prim SRL

3.85.198.66 - AS14618 亚马逊-AES

3,144,242 - AS16509 亚马逊-02

adaptivenet[.]hostedrmm[.]com

hxxp://127.0.0[.]1:[高星体端口]/

hxxps://ec2-3-144-143-242.us-east-2.compute.amazonaws[.]com

hxxps://ec2-3-85-198-66[.]compute-1.amazonaws[.]com

adaptivenet[.]hostedrmm[.]com / 52.53.233.237 - AS16509 AMAZON-02

hxxp://adaptivenet[.]hostedrmm[.]com/LabTech/Updates/LabtechUpdate_220.124.zip

hxxp://adaptivenet[.]hostedrmm[.]com/LabTech/Updates/LabtechUpdate_220.77.zip

hxxp://adaptivenet[.]hostedrmm[.]com/LabTech/transfer/tools/caexec.exe

hxxp://adaptivenet[.]hostedrmm[.]com/LabTech/Deployment.aspx？样本=79EA559BB87BF3C8403C40586993D4AC&ID=660

包含URI字符串“/LabTech/”的URL

45.153,243.93 - Bumblebee C&C

保护

Symantec端点保护（SEP）使用多种静态和动态技术防止勒索软件攻击。

AV保护

Backdoor.Cobalt!gm1

Backdoor.Cobalt!gm5

Ransom.Quantum

Ransom.Quantum!gm1

Trojan Horse

Trojan.Bumblebee

Trojan.Bumblebee!g1

Trojan.Gen.2

Trojan.Gen.9

Trojan.Gen.MBT

行为保护

SONAR.SuspLoad！g12

SONAR.Modules！gen3

SONAR.WMIC！gen13

SONAR.WMIC！gen10

SONAR.RansomGen！gen1

SONAR.Ransomware！g13

SONAR.RansomQuantm！g1

SONAR.Dropper

SONAR.Ransomware！g1

SONAR.Ransomware！g3

SONAR.Ransomware！g7

入侵预防系统保护

28589: Attack: Meterpreter Reverse HTTPS

System Infected: Trojan.Backdoor Activity 373

32721: Audit: ADFind Tool Activity