Bumblebee という新たなマルウェア:TrickBot/BazaLoader 系で最凶か?

Cybercriminals Using New Malware Loader ‘Bumblebee’ in the Wild

2022/04/28 TheHackerNews — これまでマルウェア・キャンペーンにおいて、サイバー犯罪者たちが BazaLoader と IcedID を配信してきたことは確認されているが、現在では Bumblebee という、活発に開発されている新しいローダーに移行したと言われている。エンタープライズ・セキュリティ企業である Proofpoint が The Hacker News と共有したレポートには、「Bumblebee が脅威の現場に現れたタイミングや、複数のサイバー犯罪グループにより使用されていることから、BazaLoader の直接の代替品ではないにしても、他のマルウェアを好んでいた脅威アクターたちが好んで使用する、新しい多機能ツールが登場したと思われる」と記されている。

この、高度に洗練された新たなローダーを配布するキャンペーンは、2022年3月に開始されたと言われているが、Conti/Diavol ランサムウェア展開の活動と重なるため、それらのランサムウェア攻撃の前兆として機能する可能性も指摘されている。

「Bumblebeeを使用する脅威者は、後続のランサムウェアキャンペーンに関連するマルウェアペイロードに関連している。Bumblebee は、対仮想化処理を特徴とし、C++で記述され、Cobalt Strike/Sliver/Meterpreter/Shell Codes などの、次段階ペイロードを取得/実行するダウンローダーとして動作するように設計されている」と、研究者は述べている。

興味深いことに、このマルウェアローダーの検出が増えた 2022年2月以降において、BazaLoader の展開が減少している。この BazaLoader は、消滅した TrickBot ギャング (Conti に吸収) が開発した人気のローダーであり、ファイル暗号化マルウェアの配信に使用されてきた。

Bumblebee を配布する攻撃チェーンは、DocuSign ブランドを装う電子メール・フィッシングであり、不正なリンクや HTML を添付ファイルを組み込み、標的を Microsoft OneDrive 上にホストされる圧縮 ISO ファイルへと誘導する。

さらに、添付ファイルの HTML に埋め込まれた URL は、地下プラットフォームで月額 $250 で提供されている、Prometheus と呼ばれる Traffic Direction System (TDS) を利用し、被害者のタイムゾーンとクッキーに基づくアーカイブ・ファイルへと、URL をリダイレクトさせるようになっている。

ここで用いられる ZIP ファイルには、.LNK ファイルと .DAT ファイルが順番に組み込まれており、付属する Windows ショートカット・ファイルは、後者に含まれる Bumblebee ダウンローダーを実行した後に、BazaLoader/IcedID マルウェアの配信に使用される。

2022年4月に発生した2回目のキャンペーンでは、請求書をテーマにした正規メールの乗っ取りが生じ、ZIP 形式の ISO ファイルが送られ、そのファイルから DLL ファイルが実行され、ローダーが起動するという、スレッド・ハイジャック方式が採用された。

また、標的の Web サイトに存在するコンタクト・フォームを悪用し、画像の著作権侵害を主張するメッセージを送信し、被害者を Google Cloud Storage のリンクに誘導し、圧縮 ISO ファイルをダウンロードさせ、前述の感染シーケンスにつなげるパターンも確認されている。

BazaLoader から Bumblebee への移行は、この種のイニシャル・アクセス・ブローカーが、共通のソースからマルウェアを受け取っていることを示すものである。それと同時に、Conti グループの攻撃ツールキットが、その頃に公開されてからの切り替えを示すものでもある。

また、Conti は TrickBot ボットネットを引き継いだが、BazaLoader と Anchor マルウェアの開発に集中するために TrickBot を停止させたことも、この進展と一致している。Bumblebee と TrickBot が共通の脅威アクターにつながるのか、また、情報がリークしたことで TrickBot が BazaLoader を放棄して、まったく新しいマルウェアを開発するようになったのか、そのあたりは直ぐには判明しないだろう。

しかし、Cybereason のマルウェア研究者である Eli Salem は、TrickBot と Bumblebee の間には、Web-inject モジュールの使い回しや、回避テクニックなどの類似点を確認している。この独自の分析により、Bumblebee の作者が TrickBot のソースコードにアクセスしていた可能性に信憑性があるとしている。

Proofpoint の VP of Threat Research and Detection である Sherrod DeGrippo は、「Bumblebee ローダーが新たな脅威として登場し、BazaLoader と明らかに入れ替わったことは、脅威アクターたちが TTP を迅速に移行し、新しいマルウェアを採用するという、柔軟性を持っていることを実証している。さらに、このマルウェアは非常に洗練されており、検知を回避する新しい方法を導入するために、現在でも活発な開発が継続されている」と述べている。

かなり手強いマルウェアが登場したようです。文中にもあるように、対仮想化処理や、難読化、多彩なペイロード・ダウンロード、Traffic Direction System (TDS) を用いたタイムゾーンの改ざんなどがベースにあり、さらには著作権侵害を主張することで、心理面でプレッシャーをかけるなど、ありとあらゆる要素が詰まったマルウェアのようです。それを Conti が、TrickBot と BazaLoader を引っ込めてまで利用するという、かなり厄介な展開になっているようです。

%d bloggers like this: