概述
各行各业都在关注如何利用chatgpt来提升自己的工作效率,全球的一些热点事件也是攻击者比较关注的,攻击者往往会利用热点事件进行钓鱼攻击,深信服蓝军apt研究团队一直在关注全球攻击者使用的各种新型攻击手段、攻击武器与全球最新的攻击事件,近日捕获到一例利用chatgpt客户端安装程序捆绑bumblebee(大黄蜂)的恶意攻击样本,疑似攻击者利用chatgpt热点进行钓鱼攻击活动,针对这款新型的攻击活动样本进行了相关技术分析。
bumblebee是一种新型的恶意软件程序,最初由google威胁分析小组于2022年3月首次报告,谷歌威胁分析团队追踪为conti组织提供初始化访问的团伙时,发现了新的木马家族。该木马与c2通信时会使用特殊代号“bumblebee”作为user-agent字段,因此将其命名为bumblebee(大黄蜂),该恶意软件去年非常活跃,与全球几个顶级的网络犯罪组织和勒索病毒组织都有一些联系,去年主要利用vhd、iso或img等作为载体通过钓鱼邮件攻击传播,今年发现该恶意软件还利用onenote文档作为载体进行传播,攻击手法更新非常之快。
iocs
hash
6f7e07b84897cccab30594305416d36f
b4153c305f599325177fc402c696c4f9
ip & port
45.61.187.225:443
91.206.178.68:443
193.109.120.252:443
url
hxxps://gissa-dev.com/chatgpt_setup.msi
总结
深信服蓝军apt研究团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对 apt 组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个 apt 以及网络犯罪威胁组织的详细画像,并成功帮助客户应急响应处置过多个 apt 及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的 ttp,深信服蓝军apt研究团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。
参考链接
https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee
