Tehdit aktörleri, bing arama sonuçlarını manipüle etmek için SEO zehirlenme tekniklerinden yararlandı ve “yönetme opmanager” sorgulayan kullanıcıları kötü amaçlı bir alana yönlendirdi, opmanager[.]Pro.
Bu site, meşru yazılım yüklerken Bumblebee kötü amaçlı yazılım yükleyicisini gizlice dağıtan manageengine-opmanager.msi adlı bir truva atı MSI yükleyicisi dağıttı.
İlk olarak 2021’in sonlarında egzotik Lily ve TA578 gibi aktörlerle ilişkili bir başlangıç erişim aracı olarak tanımlanan Bumblebee, benzersiz bir kullanıcı ajanı dizesi kullanır ve genellikle özel yükleyicilere sahip DLL’ler içeren ISO dosyaları aracılığıyla teslim edilir.
SEO zehirlenme kampanyasının ortaya çıkışı
Bu örnekte, kötü amaçlı yazılım MSIMG32.dll içine gömülmüş ve bir etki alanı üretim algoritması (DGA) aracılığıyla dinamik olarak oluşturulan alanlarla komut ve kontrol (C2) iletişimi oluşturarak confor.exe ile yürütülmüştür.
Bu yeniden diriliş, BT araçlarını taklit eden benzer Bing bazlı zehirlenmenin Mayıs 2025 Cyjax analizi dahil olmak üzere önceki raporları yansıtıyor ve 2022 ESET araştırmasında belirtildiği gibi, Bumblebee’nin hilebot’a benzeyen modüler yapılara doğru evrimi ile hizalanıyor.
Kampanyanın ağ yönetimi yazılımı arayan ayrıcalıklı BT yöneticilerinin hedeflenmesi hızlı yükselmeyi kolaylaştırdı ve bumblebee kobalt grev gibi yükleri getirdi veya bu durumda Akira fidye yazılımı dağıtımına yol açtı.
Trojanize edilmiş ileri-IP-Scanner.MSI ile paralel bir müdahalenin Swisscom B2B CSIRT’inden onaylama, kampanyanın genişliğini vurgulayarak, birden fazla kuruluşu etkileyen ve Swisscom davasında dokuz saatten 44 saate kadar gözlenen olayda 44 saat arasında değişiyor.
Ayrıntılı izinsiz giriş analizi
Rapora göre, yürütme üzerine, Bumblebee yükü C2’yi 109.205.195 gibi IP adresleriyle başlattı.[.]211 ve 188.40.187[.]145 EV2SIRBD269O5J.org gibi DGA alanlarını kullanma.
Birkaç saat içinde, ek C2 ila 172.96.137 için bir Adaptixc2 Beacon (adgnsy.exe) kullandı.[.]160, SystemInfo, NLTest /Dclist :, ve Net Group Domain Adims /Dom gibi komutlar aracılığıyla iç keşifleri etkinleştirme.
Tehdit aktörleri daha sonra ayrıcalıklı hesaplar (örn. Backup_ea) ve artan ayrıcalıklar oluşturdu, kimlik bilgisi çıkarma için wbadmin.exe kullanarak ntds.dit’i boşaltmaya RDP aracılığıyla yanal olarak hareket etti.
Kalıcılık Rustdesk kurulumları ile, 193.242.184’e bir SSH Ters Tüneli ile kalıcılık elde edildi[.]150 Proxed DAHA FAZLA AKTİVİTE.
Discovery, depolanan kimlik bilgileri için yeniden adlandırılmış bir SoftperFect Network tarayıcısı (N.EXE) dağıtılmasını ve Veeam PostgreSQL veritabanlarının PSQL.EXE ile sorgulanmasını içeriyordu.
Veri Defiltrasyonu FileZilla SFTP aracılığıyla 185.174.100[.]203, daha önce comsvcs.dll ile Rundll32.exe kullanılarak LSASS dökümünden önce birden çok ana bilgisayarda.
İzinsiz giriş, Akira Fidye Yazılımı (Locker.exe) dağıtımıyla sonuçlandı, kök ve çocuk alanlarını yerel sürücüleri ve ağ paylaşımlarını hedefleyen seçeneklerle şifreledi.
Bu dizi, Bumblebee’nin Proofpoint ve Microsoft’un tarihsel analizlerinde belgelendiği gibi, Sliver ve Conti gibi araçlarla örtüştüğü yeni yazılım öncesi ekosistemlerdeki rolünü vurgulamaktadır.
Tespit için kuruluşlar, kullanıcı dizinlerinden anormal MSI yürütmeleri avlamayı, onayı.
MSI kurulumlarını 24 saat içinde keşif, kimlik bilgisi erişim ve yanal hareketle ilişkilendiren davranış kuralları tehdit avını artırabilirken, DGA modellerini ve SSH tünelini izlerken bu tür ilk erişim brokerlerine karşı proaktif savunma sağlar.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge | Tanım |
|---|---|---|
| Alanlar | EV2Sirbd269o5j.org | Bumblebee DGA alanı |
| Alanlar | 2rxyt9urhq0bgj.org | Bumblebee DGA alanı |
| Alanlar | devir[.]profesyonel | Trojanize yükleyici için kötü amaçlı site |
| Alanlar | Anynscanner.org | Trojanize yükleyici için kötü amaçlı site |
| Alanlar | Axishamerastation.org | Trojanize yükleyici için kötü amaçlı site |
| Alanlar | IP tarama[.]org | Trojanize yükleyici için kötü amaçlı site |
| IP adresleri | 109.205.195[.]211 | Bumblebee C2 |
| IP adresleri | 188.40.187[.]145 | Bumblebee C2 |
| IP adresleri | 172.96.137[.]160 | ADAPTIXC2 C2 |
| IP adresleri | 170.130.55[.]223 | ADAPTIXC2 C2 |
| IP adresleri | 193.242.184[.]150 | SSH Tüneli Ana Bilgisayar |
| IP adresleri | 83.229.17[.]60 | SSH Tüneli Ana Bilgisayar |
| IP adresleri | 185.174.100[.]203 | SFTP Exfiltration Sunucusu |
| Dosya | 186b26df63df3b7334043b47659cba4185c948629d85d47452cc1936f0aa5da | Managine-opmanager.msi (kötü amaçlı yükleyici) |
| Dosya | A14506C6FB92A5AF88A6A44D273EDAFE 10D69E3D85C8B2A7A7A458A2EDF68D2 | Advanced-IP-Scanner.msi (kötü amaçlı yükleyici) |
| Dosya | A6DF0B49A5EF9FD6513BFE061FB6D6D2941A440038E2DE8A7AB1914945331 | msimg32.dll (Bumblebee) |
| Dosya | 6BA5D9E52734CB9246BCC3DECF127F780D48FA11587A1A44480C1F04404D23 | msimg32.dll (Bumblebee) |
| Dosya | De730d969854c3697fd0e0803826b422f3a14efe47e4c60ed749fff6edce19d | Locker.exe (Akira Ransomware) |
| Dosya | 18B8E6762AFD29A09BECAE283083C74A19FC09DB1F2C3412C42F1B0178BC122A | Win.exe (Akira Ransomware) |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir