Bumblebee 是一個近期被開發的惡意程式執行器，目前已經代替舊有的 BazarLoader，被使用於許多的網路攻擊中。Bumblebee採用新型的攻擊手法，透過後期滲透工具- PowerSploit，使得Bumblebee 可以完全在記憶體中執行，不會在硬碟中留下任何痕跡，使得防毒軟體更不易偵測到其可疑活動。

根據 Cyble Research & Intelligence Labs (CRIL) 的研究分析，認為 Bumblebee 的 Exec Flow: VDH > LNK > PowerShell > csc > cvtres，各步驟的概述如下：

1. 駭客將一封垃圾信件寄到受害者的信箱，其中附有一個受密碼保護的附加檔案。在此附加檔案中，包含有一個. VDH (virtual hard disk) 的擴充文件。

2. 在該 VDH 檔中，包含了兩個檔案：(1) Quote.lnk 與 (2) 隱藏的檔案 “imagedata.ps1” 。Quote.lnk 檔案存放有可以協助 “imagedata.ps1" 執行的參數。一旦 “imagedata.ps1"被執行，該活動會在 PowerShell 的記憶體中觸發 Bumblebee的payload。

3. “imagedata.ps1"被執行時，隱藏其活動的 PowerShell 視窗並在背景執行 PowerShell code。不同於過去的惡意活動多透過windowstyle hidden指令，Bumblebee 使用 ShowWindow指令將欲執行的code 利用不同的編碼方式，切成不同的片段和行列的排序。此些片段，在後續程式執行前會再被組合為可被執行的格式，對後續檔案進行 gzip 解壓。

4. 檔案在進行 gzip 解壓之後，包含PowerShell 的Script，開發者會透過 “Invoke-Expression”進一步執行該 script.

5. 在 PowerShell 腳本的Script中，有一個大型的代碼塊，可以將內嵌的DLL 加載到“powershell.exe”的記憶體中。

6. Bumblebee 需透過 PowerSploit 模組協助執行。 PowerSploit 是一個開源的後期滲透工具。透過 PowerSploit ，惡意軟體可以使用 Invoke-ReflectivePEInjection 的方式，將 DLL 加載到 PowerShell中，協助其通過多方的驗證。

詳細的描述與附圖說明，請參考：https://blog.cyble.com/2022/09/07/bumblebee-returns-with-new-infection-technique/

 

參考資料：

1. Bumblebee Returns With New Infection Technique, cyble (7 Sep 2022): https://blog.cyble.com/2022/09/07/bumblebee-returns-with-new-infection-technique/

2. Bumblebee VHD Infection TTPs, Max_Malyutin- Twitter (30 Aug 2022): https://twitter.com/Max_Mal_/status/1564607613693747204

3. 【資安日報】2022年9月12日-惡意軟體Bumblebee埋藏在受害電腦記憶體內運作, iThome (12 Sep2022): https://www.ithome.com.tw/news/152998