Bumblebeeマルウェアローダーは、5月に欧州警察機構(Europol)が「Operation Endgame(エンドゲーム作戦)」中に阻止してから4カ月以上が経過した最近、新たな攻撃で目撃されている。
TrickBotの開発者が作成したと考えられているこのマルウェアは、2022年にBazarLoaderバックドアに代わるものとして登場し、ランサムウェアの脅威者が被害者のネットワークにアクセスできるようにしました。
Bumblebeeは通常、さまざまなソフトウェア(Zooom、Cisco AnyConnect、ChatGPT、Citrix Workspaceなど)を宣伝するフィッシング、不正広告、SEOポイズニングを介して感染を実現します。
Bumblebeeによって通常配信されるペイロードには、Cobalt Strikeビーコン、情報窃取マルウェア、およびさまざまなランサムウェアがあります。
5月には、コードネーム「Operation Endgame」と呼ばれる国際的な法執行活動が、IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBCを含む複数のマルウェアローダーをサポートする100台以上のサーバーを押収しました。
それ以来、バンブルビーは沈黙を守っている。しかし、サイバーセキュリティ企業Netskopeの研究者は、マルウェアに関連する新たなバンブルビーの活動を観測しており、これは復活を示唆している可能性がある。
最新のBumblebee攻撃チェーン
最新のBumblebee攻撃チェーンは、被害者に悪意のあるZIPアーカイブをダウンロードさせるフィッシングメールから始まります。
この圧縮ファイルには、Report-41952.lnkという名前の.LNKショートカットが含まれており、このショートカットがPowerShellを起動させて、正規のNVIDIAドライバアップデートまたはMidjourneyインストーラを装った悪意のある.MSIファイル(y.msi)をリモートサーバからダウンロードさせます。
ソースはこちら:Netskope
MSIファイルは、msiexec.exeに/qnオプションを付けて静かに実行されます。
よりノイズの多い新しいプロセスの生成を避けるため、マルウェアはMSI構造内のSelfRegテーブルを使用し、msiexec.exeにDLLを自身のアドレス空間にロードし、DllRegisterServer関数を呼び出すよう指示します。
DLLがロードされ実行されると、マルウェアの解凍プロセスが開始され、メモリ内にBumblebeeが展開されます。
Source:Netskope
Netskopeは、Bumblebeeペイロードは、過去の亜種で見られた構成抽出メカニズムだけでなく、その署名内部DLLとエクスポートされた関数の命名スキームを運ぶとコメントしています。
最新の攻撃では、その設定を復号化するRC4キーは “NEW_BLACK “文字列を使用し、”msi “と “lnk001 “という2つのキャンペーンIDが存在します。
ソースはこちら:Netskope
Netskopeは、Bumblebeeが投下したペイロードやキャンペーンの規模に関する情報を提供していませんが、このレポートは、復活の可能性のある初期の兆候を警告するものです。
侵害の指標の完全なリストは、このGitHubリポジトリで入手できる。
Comments