BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks

Google ads push BumbleBee malware used by ransomware gangs

2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom/Cisco AnyConnect/ChatGPT/Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader  の代替として、Conti チームが開発したものだと考えられている。

2022年9月には、野放し状態で活動する新バージョン観測され、メモリへの反射型 DLL インジェクションのために PowerSploit フレームワークを使用するという、ステルス性の高い攻撃チェーンが特徴となっている。


最近になって Secureworks の研究者たちは、人気アプリのトロイの木馬化バージョンを宣伝する Google 広告により、無防備な被害者を騙して、このマルウェア・ローダーを配信する新たなキャンペーンを発見した。

人気アプリに潜む Bumblebee

Secureworks が発見したキャンペーンの1つは、2023年2月16日に作成され、”appcisco[.]com” ドメインでホストされた、偽の Cisco AnyConnect Secure Mobility Client ダウンロード・ページを宣伝する、Google 広告から始まるものだ。 

同社はレポートで、「この感染チェーンは悪意の Google 広告から始まり、侵害した WordPress サイトを経由して、この偽のダウンロード・ページへとユーザーを誘導していた」と説明している。

Fake Cisco software download portal
Cisco ソフトウェアの偽のダウンロード・ポータル (Secureworks)

この偽のランディング・ページは、BumbleBee マルウェアをインストールする、トロイの木馬化 MSI インストーラ cisco-anyconnect-4_9_0195.msi を宣伝するものだった。このインストーラを実行すると、正規のプログラム・インストーラのコピーと、偽の名前の PowerShell スクリプト cisco2.ps1 が、ユーザーのコンピュータにコピーされる。

Files dropped by the malicious MSI
悪意の MSI によってドロップされるファイル (Secureworks)

CiscoSetup.exe は AnyConnect の正規のインストーラであり、 ユーザーの目を欺くために、アプリケーションもインストールする。しかし、この PowerScrip スクリプトは、BumbleBee マルウェアをインストールし、侵害したデバイス上で悪意の活動を実行する。

Secureworks は、「PowerShell スクリプトには、PowerSploit ReflectivePEInjection.ps1 スクリプトからコピーされ、リネームされた関数の一部と、エンコードされた Bumblebee マルウェア・ペイロードが含まれ、それがメモリにロードされる」と説明している。

つまり Bumblebee は、既存のアンチウイルス製品の検知を回避して、マルウェアをメモリにロードするために、従来からのポスト・エクスプロイト・フレームワーク・モジュールを使用しているということだ。

Secureworks は、ZoomInstaller.exe と zoom.ps1、ChatGPT.msi と chch.ps1、CitrixWorkspaceApp.exe と citrix.ps1 といった、同様の名前のファイルペアを持つソフトウェア・パッケージも発見している。

ランサムウェアへの道筋

この、トロイの木馬化されたソフトウェアが、企業ユーザーをターゲットにしていることを考慮すると、感染したデバイスはランサムウェア攻撃の発端になると言える。

Secureworks は、最近に発生した Bumblebee 攻撃の1つを詳細に調査した。その結果、この脅威アクターは、イニシャル・アクセスから約3時間後に、感染させたシステムへのアクセスを利用して、ネットワーク内で横方向に移動していることが判明した。

攻撃者が侵入した環境に導入したツールは、Cobalt Strike ペンテスト・スイート/AnyDesk・DameWare リモート・アクセス・ツール/ネットワーク・スキャン・ユーティリティ/AD データベース・ダンパー/Kerberos 資格情報スティーラーなどである。

このような武器により、マルウェアのオペレーターは、アクセス可能なネットワーク・ポイントを特定し、他のマシンに移動してデータを抜き取っている。したがって、最終的にはランサムウェアを展開する可能性が非常に高い、攻撃プロファイルを作成していると推測される。

Bumblebee について、このブログの中を検索してみたら、2022/11/21 の「Emotet の大規模マルスパム・キャンペーンを検出:IcedID や Bumblebee などをドロップ」という記事が見つかりました。今日の Secureworks の調査結果とは異なる、別の侵入経路も存在するようであり、マルウェア間の連携が多岐にわたることを証明しています。よろしければ、BumbleBee で検索も、ご利用ください。

%d bloggers like this: