범블비 악성코드 탐지

보안 연구원들이 처음 접근 브로커(IAB)로 불리는 ‘Exotic Lily’와 연계된 BumbleBee 멀웨어의 배포와 관련된 악의적인 활동을 보고합니다. Exotic Lily. 연구 데이터에 따르면 공격자들은 TransferXL, TransferNow, WeTransfer와 같은 파일 전송 도구를 사용하여 BumbleBee 멀웨어를 확산시키고 있습니다. 이 멀웨어는 Cobalt Strike 공격을 시작하는 데 사용됩니다.

BumbleBee 멀웨어 탐지

조직이 인프라를 더 잘 보호할 수 있도록 하기 위해, 저희 Threat Bounty 개발자들은 최근에 BumbleBee 멀웨어 탐지를 빠르게 할 수 있는 전용 Sigma 규칙 세트를 출시했습니다. 보안 팀은 SOC Prime의 Detection as Code 플랫폼에서 이러한 규칙을 다운로드할 수 있습니다: Nattatorn Chuensangarun and Osman Demir 이 규칙들은 최신 MITRE ATT&CK® 프레임워크 v.10과 조정되며, 피싱(T1566), 프로세스 인젝션(T1055), 서명된 바이너리 프록시 실행(T1218)을 주 기법으로 하여 초기 접근과 방어 회피 전술을 다루고 있습니다.

EXOTIC LILY 캠페인에서 BumbleBee 멀웨어 사용 가능성 (프로세스 생성 통해)

EXOTIC LILY 캠페인에서 TransferXL URLs로 BumbleBee 멀웨어 실행 가능성 (프로세스 접근 통해)

의심스러운 BumbleBee 멀웨어(2022년 5월) Rundll32로 DLL 로딩을 통한 방어 회피 (cmdline 통해)

규칙은 전체적인 목록을 보려면 감지 보기 버튼을 누르십시오. 모든 규칙은 MITRE ATT&CK 프레임워크에 매핑되고, 철저히 선별되고 검증되었습니다. 자체 Sigma 및 YARA 규칙을 생성하여 세상을 더 안전하게 만들고 싶으신가요? 귀중한 입력에 대한 지속적인 보상을 받기 위해 Threat Bounty 프로그램에 참여하세요!

버튼을 눌러 감지 보기 BumbleBee 멀웨어 감염을 탐지하기 위한 Sigma 규칙의 전체 목록을 확인하세요. 모든 규칙은 MITRE ATT&CK 프레임워크에 매핑되어 있으며, 철저히 선별되고 검증되었습니다. 귀중한 입력에 대해 지속적인 보상을 받기 원한다면 Threat Bounty 프로그램에 참여하셔서 자체 Sigma 및 YARA 규칙을 제작하세요!

감지 보기 Threat Bounty에 참여하기

BumbleBee 멀웨어 분석

위협 환경에 최근 ‘BumbleBee’라는 새로운 멀웨어가 등장했습니다. BumbleBee는 C++로 작성된 로더로, 주로 초기화, 응답 처리, 요청 전송을 담당하는 단일 함수로 구성되어 있습니다. 멀웨어가 감염된 장치에서 실행되면 C2 서버에 피해자의 데이터를 수집하여 전달합니다. 이 멀웨어는 추가적인 악성 페이로드를 가져와 실행하는 데 사용됩니다; Cobalt Strike, Sliver 및 Meterpreter.

연구원들은 BumbleBee 멀웨어의 확산 뒤에 Exotic Lily로 추적된 IAB가 있다고 제안합니다. 이 위협 그룹은 Conti 그룹.

으로 알려진 러시아 관련 공격자들과 연관되어 있습니다. BumbleBee를 배포하는 데는 여러 가지 방법이 있지만, 최신 캠페인에서는 합법적인 파일 전송 서비스를 악용하고 있는 것으로 나타났습니다. BumbleBee 멀웨어 감염 흐름은 다음과 같습니다: 멀웨어는 무기로 사용된 zip 아카이브의 일부로 목표 장치에 도달합니다. zip 파일에는 ISO 디스크 이미지가 포함되어 있습니다. 피해자가 이 파일을 실행하면 DVD 드라이브로 마운트됩니다. 보이는 Windows 바로 가기와 BumbleBee 멀웨어 DLL이 ISO 파일에 포함되어 있습니다.

이와 같은 새로운 위협을 시기적절하게 감지하기 위해, 글로벌 사이버 보안 커뮤니티에 참여하여 협력적 사이버 방어의 이점을 활용하세요. SOC Prime의 Detection as Code 플랫폼에서 전 세계의 숙련된 전문가들이 제공하는 정확하고 시기적절한 탐지를 활용하여, SOC 팀의 작전과 보안 태세를 향상하십시오.