Bumblebee マルウェア：標的システムに特化したペイロードをロードして攻撃する

Bumblebee Malware Loader’s Payloads Significantly Vary by Victim System

2022/10/04 DarkReading — ３月に表面化した、きわめて悪質なマルウェア・ローダー Bumblebee の最新分析により、企業ネットワークの一部としてのシステム向けのペイロードと、スタンドアロン・システム向けのペイロードでは、その種類が大きく異なることが判明した。たとえば、Active Directory サーバを共有しているような、ドメインの一部として認識されたシステムの場合には、Cobalt Strike のような高度なポスト・エクスプロイト・ツールを実行するよう、このマルウェアはプログラムされている。

その一方で、ワークグループ (peer-to-peer LAN) の一部として認識したマシンに、インストールされた場合には、銀行情報／機密情報などを盗み出すペイロードが用いられる傾向にあるという。

それぞれのマルウェア

このマルウェアに対する最新の分析結果に基づき、「被害者の地理的な属性は、Bumblebee の動作に影響を与えないようだが、マシンに感染した後の動作には、きわめて大きな違いがあることが確認された」と、Check Point は今週のレポートで述べている。

さらに同社は、「被害者がワークグループに接続している場合、ほとんどの場合、DEX (Download and Execute) コマンドを受信し、ディスクからファイルをドロップして実行する。しかし、システムが AD ドメインに接続されている場合、マルウェアは Download and Inject (DIJ)／Download shellcode and Inject (SHI) コマンドを使用して、Cobalt Strike／Meterpreter／Silver などの、高度なペイロードをダウンロードする」と詳述している。

Check Point の分析によると、Bumblebee を初めて観測してから約半年が経過しているが、その研究量は増加の一途をたどっているという。

このマルウェアは、いくつかの理由により注目を集めている。そのうちの１つは、複数の脅威グループの間で、幅広く使用されている点にある。Proofpoint の研究者たちは、2022年4月の研究で、Conti／Diavol などのセカンド・ステージ・ペイロードを、感染したシステム上に Bumblebee で展開する、少なくとも３件の脅威グループを発見したと述べている。

また、Google の Threat Analysis Group (TAG) は、Bumblebee を配布している脅威アクターを、Initial Access Broker (IAB) の Exotic Lily だと判断している。

Proofpoint だけではなく、その他のセキュリティ研究者たちも、ストリーミング・サービスを装うことが多いマルウェア・ローダーである、BazaLoader を用いていた脅威アクターが、Bumblebee へと移行したと推測しているが、2022年2月に姿を消したとも説明している。

洗練され、常に進化し続ける脅威

Bumblebee が注目されるもう１つの理由は、セキュリティ研究者たちが指摘しているように、仮想化対策／サンドボックス対策／ネットワーク通信の暗号化などの機能に加えて、実行中のプロセスを確認して、マルウェア解析活動の有無をチェックする機能などの、洗練された技術にある。Bumblebee の作者は、 マルウェアを配布する際に、他のマルウェア・ツールとは異なり、カスタム・パッカーを用いてパッケージ化／マスキングを行っていると、Check Point は述べている。

脅威アクターは、Bumblebee を配布するために、さまざまな手口を用いている。最も一般的なものは、ISO ファイル／VHD ファイル (ディスク・イメージ) の中に DLL 型のバイナリを埋め込み、フィッシング／スピアフィッシング・メールで配信する方法である。Microsoft が Windows システムのデフォルトにおいて、Office マクロを実行できないようにしたことで、このマルウェアはコンテナ・ファイルを用いるようになった。Office マクロは、従来から脅威アクターたちが、好んで悪用してきた感染経路である。

さらにいうなら、Bumblebee が常に進化し続けていることが、懸念材料の１つとなっている。Check Point は、今週に発表したレポートで、これまの数カ月の間に、Bumblebee は絶え間なく進化していると指摘している。

その一例として、Bumblebee が ISO ファイルの使用から、PowerShell スクリプトを使った VHD 形式のファイルへと、一時的に切り替えた後に ISO に戻ったことを、同社は指摘している。

同様に、７月上旬までの Bumblebee C2 サーバは、被害者の IP アドレスから受け付ける対象を、そこから感染した被害者だけに限定していた。Check Point は、「つまり、同じパブリック IP でインターネットにアクセスする組織内の、複数のコンピュータが感染した場合であっても、この C2 サーバは、最初に感染したものしか受け付けないことを示している」と述べている。

しかし最近になって、このオフにされたことで、Bumblebee C2 サーバは、同じネットワーク上の複数の感染したシステムと通信できるようになったという。Check Point は、このマルウェアの作者はテストを実施していたが、すでに試験段階は脱したと推定している。

Check Point と Proofpoint は、Bumblebee の脅威を検知／ブロックするための指標 (indicators of compromise) を公開している。

訳していて、目眩に襲われるような Bumblebee の凄さです。標的システムに合わせたマルウェアのロードも凄いですが、検出回避のための機能と、感染のための機能も万全という感じです。なお、これまでの Bumblebee 関連記事としては、2022年4月28日の「Bumblebee という新たなマルウェア：TrickBot／BazaLoader 系で最凶か？」、8月18日の「Active Directory と Bumblebee：侵害後に BazarLoader／TrickBot／IcedID などをロード」、9月8日の「Bumblebee マルウェアはディスクに触れない：高度なスティルス性で侵害し続ける」がありますので、よろしければ、ご参照ください。