【高级持续威胁追踪(APT)】ChatGPT客户端安装程序捆绑Bumblebee木马

2023-04-06 9,717

概述


各行各业都在关注如何利用ChatGPT来提升自己的工作效率,全球的一些热点事件也是攻击者比较关注的,攻击者往往会利用热点事件进行钓鱼攻击,深信服蓝军APT研究团队一直在关注全球攻击者使用的各种新型攻击手段、攻击武器与全球最新的攻击事件,近日捕获到一例利用ChatGPT客户端安装程序捆绑Bumblebee(大黄蜂)的恶意攻击样本,疑似攻击者利用ChatGPT热点进行钓鱼攻击活动,针对这款新型的攻击活动样本进行了相关技术分析。

BumbleBee是一种新型的恶意软件程序,最初由Google威胁分析小组于2022年3月首次报告,谷歌威胁分析团队追踪为Conti组织提供初始化访问的团伙时,发现了新的木马家族。该木马与C2服务器通信时会使用特殊代号“bumblebee”作为User-Agent字段,因此将其命名为Bumblebee(大黄蜂),该恶意软件去年非常活跃,与全球几个顶级的网络犯罪组织和勒索病毒组织都有一些联系,去年主要利用VHD、ISO或IMG等作为载体通过钓鱼邮件攻击传播,今年发现该恶意软件还利用OneNote文档作为载体进行传播,攻击手法更新非常之快。

分析


1.该攻击样本与ChatGPT客户端安装程序进行捆绑,并使用有效的数字签名,数字签名信息,如下所示:



2.样本解压之后,包含两个文件,如下所示:



3.运行该攻击样本之后,前端会显示安装ChatGPT客户程序,如下所示:



4.同时在后台会执行恶意安装脚本,如下所示:



5.恶意安装脚本,部分代码,如下所示:



6.对恶意脚本进行解密之后,部分代码,如下所示:



7.在内存中加载执行Bumblebee木马后门,Bumblebee木马调用入口部分代码,如下所示:



8.C2列表解密函数,如下所示:



9.解密出来的C2地址列表,如下所示:



10.利用解密脚本进行解密,如下所示:



C2列表里面包含很多IP和PORT信息,很多信息是无效了,真实的PORT在前面已经解密出来,对应的端口号为443。

IOCS


HASH

6F7E07B84897CCCAB30594305416D36F

B4153C305F599325177F**02C696**F9


IP & PORT

45.61.187.225:443

91.206.178.68:443

193.109.120.252:443


URL

hxxps://gissa-dev.com/ChatGPT_Setup.msi

参考链接


https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/198647.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号