Powerful JavaScript Dropper PindOS Distributes Bumblebee and IcedID Malware
2023/06/23 TheHackerNews — 新種の JavaScript ドロッパーにより、ネクスト・ステージ・ペイロードが配信されていることが確認された。サイバー・セキュリティ企業 Deep Instinct は、この Bumblebee や IcedID にも似ているマルウェアを、User-Agent 内に名前を持つ PindOS として追跡している。Bumblebee と IcedID は、どちらもローダーとしての役割を担い、侵害したホスト上でランサムウェアなどのベクターとして機能する。最近の Proofpoint のレポートでは、IcedID が銀行詐欺の機能を放棄し、マルウェア配信のみに特化していることが強調されている。
Bumblebee は、BazarLoaderと呼ばれるローダーの新種であり、現在は活動を停止している TrickBot と Conti が作成したものとされている。
2022年4月に Secureworks が発表したレポートでは、Conti/Emotet/IcedID などの、ロシアのサイバー犯罪エコシステムにおいては、複数のアクターが協力している証拠が見つかっている。
Deep Instinct による PindOS のソースコード分析によると、ロシア語のコメントが含まれており、電子犯罪グループ間の継続的な協力関係の可能性が指摘されている。
この、驚くほどシンプルなローダーと説明されるソフトウェアは、リモート・サーバから悪意の実行ファイルをダウンロードするよう設計されている。このローダーは、2つの URL を利用し、そのうちの1つは、最初の URL が DLL ペイロード取得に失敗した場合のフォールバックとして機能する。
セキュリティ研究者である Shaul Vilkomir-Preisman と Mark Vaitzman は、「取得されたペイロードは、擬似的かつランダムに “オンデマンド “で生成されるため、ペイロードが取得されるたびに、新しいサンプル・ハッシュが生成される」と述べている。
最終的に、これらの DLL ファイルは、正規の Windows ツールである rundll32.exe を使って、ロード/実行される。研究者たちは、「PindOS が、Bumblebee や IcedID の背後にいる脅威アクターにより、恒久的に採用されるかどうかは、まだ分からない」と結論付けている。
この “実験” が、それぞれのマルウェア運営者にとって成功した場合には、彼らの武器庫における恒久的なツールとなり、他の脅威アクターたちの人気も得るかもしれない。
JavaScript で書かれた PindOS は、DLL サイドローディングを二重化したマルウェア・ローダーとのことですが、現時点では実験的なものと考えて良さそうな感じです。
Bumblebee と IcedID に似たとも紹介されていますが、この2つが同時に記事に掲載されたのは、2022/11/21 の「Emotet の大規模マルスパム・キャンペーンを検出:IcedID や Bumblebee などをドロップ」でした。よろしければ、Bumblebee で検索、および、IcedID で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.