Skip to content

IoT OT Security News

  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News

Bumblebee マルウェアが再登場:WebDAV サービスを悪用する新たなキャペーンを展開

Bumblebee malware returns in new attacks abusing WebDAV folders

2023/09/18 BleepingComputer — 2ヶ月ぶりに再登場した Bumblebee マルウェア・ローダーだが、4shared WebDAV サービスを悪用するという、新たな配布テクニックを用いている。WebDAV (Web Distributed Authoring and Versioning) とは、HTTP プロトコルの拡張機能であり、クライアントからリモート・オーサリング操作を実行し、Web サーバのコンテンツの作成/更新/削除などを可能にするものだ。Intel471 の研究者たちによると、2023年9月7日に開始された Bumblebee の最新キャンペーンは、4shared WebDAV サービスを悪用してローダーを配布し、攻撃チェーンを取り込むことで、いくつかの感染後アクションを実行していくという。


正規のファイル・ホスティング・サービス・プロバイダーである 4shared プラットフォームを悪用することで、Bumblebee オペレーターはブロック・リストを回避し、高度なインフラの有用性を享受できる。

それに加えて、WebDAV プロトコルが提供するものには、行動検知システムを迂回する複数の方法/合理化された配布/容易なペイロードの切り替えなどの利点がある。

スパムメール

現在の Bumblebee キャンペーンは、スキャンや請求書/通知の偽装で受信者を誘い、悪意の添付ファイルをダウンロードさせるマルスパム・メールに依存している。

ほとんどの添付ファイルは、Windows ショートカットの LNK ファイルだが、LNK ファイルを取り込んだ ZIP アーカイブもあるという。つまり、最も効果的な方法を判断するために、Bumblebee オペレーターによる実験が行われていると示唆される。

File attachments observed in the recent campaign
File attachments observed in the campaign
(Intel471)

それらの LNK ファイルを開くと、被害者のマシン上で一連のコマンドが起動される。まず、4shared ストレージ・アカウントのハードコードされた認証情報を使用して、ネットワーク・ドライブに WebDAV フォルダがマウントされる。

4shared はファイル共有サイトであり、クラウドにファイルを保存し、WebDAV/FTP/SFTP を介してアクセスできる。以前に、このサービスは、著作権で保護されたコンテンツをホスティングしているとして、米国政府の 2016 Notorious Markets レポートに掲載されている。

その時にも Intel471 が、ファイル・コピーのマウント/デプロイに加えて、マウントされたドライブからのファイル実行などのコマンドセットに、いくつかのバリエーションがあることを発見している。ここでも、最適化が試行されたと思われる。

Malicious payloads hosted on 4shared
Malicious payloads hosted on 4shared (Intel471)
新しい Bumblebee

アナリストたちは、このキャンペーンで使用されている Bumblebee マルウェア・ローダーの、更新版も発見している。そこでは、Command and Control (C2) サーバ通信が、WebSocket プロトコルから TCP に切り替えられている。

さらに、新しいローダーでは、ハードコードされた C2 アドレスが放棄されている。現在では、実行時に DGA (Domain Generation Algorithm) が用いられ、”.life” TLD 空間上に 100個のドメインが生成される。

それらのドメインは、64 Bit の静的シード値を使用して生成され、アクティブな C2 サーバ IPアドレスを解決するものが見つかるまで、Bumblebee は作成されたリストを反復/接続する。

以前にも Bumblebee は、Conti や Akira などのランサムウェア・ペイロードの配布に関連しており、捉えどころのない配布チャネルを、効率よく採用するという心配な状況にある。

また、DGA が採用されたことで、Bumblebee のインフラをマッピングし、そのドメインをブロックして、オペレーションを効果的に妨害することが難しくなっている。つまり、このマルウェア・ローダーに対する予防措置を実施する上で、さらに複雑さが増している。

Wikipedia で WebDAV(Web-based Distributed Authoring and Versioning) を調べてみたら、HTTP を拡張したものであり、Web サーバ上でのファイル管理を目的とした、分散ファイル・システムを実現するプロトコルだと解説されていました。また、このブログ内を検索したところ、2022/07/07 の「QNAP 警告:新しいランサムウェア Checkmate が NAS を標的にしている」にも、ちょっとだけ登場しています。とても便利なプロトコルのようですが、だからこそ Bumblebee が狙うのでしょう。ご利用の方は、ご注意ください。

Share this:

  • Tweet
Like Loading...
Unknown's avatarAuthor AiototsecPosted on September 18, 2023September 27, 2023Categories CyberAttack, DataBreach, Malware, RAT, Research, Scammer, TTPTags 4shared, Bumblebee, C2 Server, Command and Comtrol, Cyber Attack, Data Breach, DGA, Domain Generation Algorithm, Intel471, LOLbin, Phishing, Spam Email, WebDAV

Post navigation

Previous Previous post: Juniper の脆弱性 CVE-2023-36845 に新たな PoC エクスプロイト:悪用が容易な RCE
Next Next post: Trend Micro のゼロデイ脆弱性 CVE-2023-41179:Apex One などで RCE の可能性

Categories Dropdown

  • Twitter
  • Facebook
September 2023
M T W T F S S
 123
45678910
11121314151617
18192021222324
252627282930  
« Aug   Oct »

Top Posts & Pages

  • Microsoft Teams フィッシング・キャンペーン:12,866 通のメールが 6,135 人のユーザーに到達
  • Node.js 25.5.0 がリリース:パッケージング作業の簡素化や暗号化トラスト・チェーンなどに対応
  • React2Shell CVE-2025-55182 悪用:明らかになった攻撃キャンペーンとマルウェアの実態
  • SmarterMail Server の CVE-2026-23760:6000+ の脆弱なサーバと実環境での悪用
  • ビッシングとリアルタイム・フィッシングを組み合わせて MFA を突破:Okta Threat Intelligence が警告
  • GNU Inetutils telnetd の脆弱性 CVE-2026-24061:PoC の公開による大規模悪用の恐れ
  • Curl がバグバウンティ・プログラムを終了:AI が生成する低品質レポートへの対応
  • 北朝鮮系 Konni の最新スピアフィッシング・キャンペーン:AI 支援 PowerShell バックドアで日本も標的
  • F5 のセキュリティ強化戦略:AI Guardrails と AI Red Team によるランタイム保護とは?
  • Apache Hadoop HDFS の脆弱性 CVE-2025-27821 が FIX:システムクラッシュ/データ破損の可能性

Categories

API APT Asia AuthN AuthZ BruteForce BugBounty CyberAttack DarkWeb DataBreach DataLeak DDoS DoubleExtortion Exploit Literacy LOLbin MageCartAttack Malware MCP MisConfiguration NHI Outage ParadigmShift Privacy Protection RaaS Ransomware RAT Repository Research Resilience Scammer SecTools SocialEngineering SupplyChain TTP Uncategorized Vulnerability WateringHoleAttack Zero Trust _AI/ML _CDN _Cloud _Container _CryptCcurrency _Defence _Education _Finance _Government _HealthCare _Human _ICS _IDS/IPS _Industry _Infrastructure _Mobile _OpenSource _PLC _Regulation _Retail _RTOS _Space _Statistics _Storage _Telecom _Transportation

Archives

  • January 2026 (158)
  • December 2025 (159)
  • November 2025 (156)
  • October 2025 (177)
  • September 2025 (172)
  • August 2025 (165)
  • July 2025 (176)
  • June 2025 (192)
  • May 2025 (216)
  • April 2025 (192)
  • March 2025 (208)
  • February 2025 (181)
  • January 2025 (185)
  • December 2024 (172)
  • November 2024 (166)
  • October 2024 (184)
  • September 2024 (171)
  • August 2024 (183)
  • July 2024 (188)
  • June 2024 (156)
  • May 2024 (156)
  • April 2024 (155)
  • March 2024 (151)
  • February 2024 (131)
  • January 2024 (132)
  • December 2023 (116)
  • November 2023 (131)
  • October 2023 (124)
  • September 2023 (101)
  • August 2023 (111)
  • July 2023 (110)
  • June 2023 (113)
  • May 2023 (129)
  • April 2023 (127)
  • March 2023 (129)
  • February 2023 (118)
  • January 2023 (138)
  • December 2022 (106)
  • November 2022 (114)
  • October 2022 (120)
  • September 2022 (118)
  • August 2022 (133)
  • July 2022 (97)
  • June 2022 (117)
  • May 2022 (94)
  • April 2022 (112)
  • March 2022 (132)
  • February 2022 (105)
  • January 2022 (128)
  • December 2021 (111)
  • November 2021 (100)
  • October 2021 (110)
  • September 2021 (131)
  • August 2021 (105)
  • July 2021 (105)
  • June 2021 (103)
  • May 2021 (72)
  • April 2021 (58)

Categories

  • API (238)
  • APT (523)
  • Asia (398)
  • AuthN AuthZ (793)
  • BruteForce (67)
  • BugBounty (76)
  • CyberAttack (3,259)
  • DarkWeb (228)
  • DataBreach (550)
  • DataLeak (194)
  • DDoS (164)
  • DoubleExtortion (15)
  • Exploit (1,412)
  • Literacy (2,340)
  • LOLbin (57)
  • MageCartAttack (14)
  • Malware (1,438)
  • MCP (16)
  • MisConfiguration (58)
  • NHI (8)
  • Outage (106)
  • ParadigmShift (181)
  • Privacy (241)
  • Protection (649)
  • RaaS (122)
  • Ransomware (728)
  • RAT (777)
  • Repository (330)
  • Research (1,210)
  • Resilience (133)
  • Scammer (614)
  • SecTools (225)
  • SocialEngineering (48)
  • SupplyChain (412)
  • TTP (1,001)
  • Uncategorized (12)
  • Vulnerability (4,674)
  • WateringHoleAttack (4)
  • Zero Trust (382)
  • _AI/ML (341)
  • _CDN (4)
  • _Cloud (365)
  • _Container (73)
  • _CryptCcurrency (40)
  • _Defence (162)
  • _Education (8)
  • _Finance (161)
  • _Government (1,056)
  • _HealthCare (47)
  • _Human (51)
  • _ICS (85)
  • _IDS/IPS (182)
  • _Industry (221)
  • _Infrastructure (129)
  • _Mobile (162)
  • _OpenSource (1,391)
  • _PLC (39)
  • _Regulation (158)
  • _Retail (77)
  • _RTOS (6)
  • _Space (26)
  • _Statistics (416)
  • _Storage (70)
  • _Telecom (77)
  • _Transportation (56)
  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News Blog at WordPress.com.
  • Reblog
  • Subscribe Subscribed
    • IoT OT Security News
      • Join 170 other subscribers
    • Already have a WordPress.com account? Log in now.
    • IoT OT Security News
    • Subscribe Subscribed
    • Sign up
    • Log in
    • Copy shortlink
    • Report this content
    • View post in Reader
    • Manage subscriptions
    • Collapse this bar
 

Loading Comments...
 

You must be logged in to post a comment.

    %d