2024年2月、悪名高いマルウェアローダーおよび初期アクセスブローカーであるBumblebeeが、新たなフィッシングキャンペーンの一環として4ヶ月の沈黙を破り再び現れた。この活動は、OneDriveのURLを含むボイスメールをテーマにした誘引を用いて、米国の組織を標的としている。セキュリティ企業Proofpointによると、これらのURLは「ReleaseEvans#96.docm」などの名前のWordファイルにつながり、消費者向け電子機器会社Humaneを装っている。文書を開くと、VBAマクロが使用され、PowerShellコマンドを介して別のリモートサーバーからPowerShellスクリプトをダウンロードし実行し、その後Bumblebeeローダーを取得して実行する。
Bumblebeeは2022年3月に初めて確認され、ランサムウェアなどの後続ペイロードをダウンロードして実行することを主な目的として設計されている。これは、以前にBazaLoader(別名BazarLoader)およびIcedIDを配信していた複数の犯罪者グループによって使用されてきた。また、BazarLoaderの代替としてContiおよびTrickBotサイバー犯罪シンジケートによって開発されたと疑われている。
2023年9月、Intel 471はWeb Distributed Authoring and Versioning(WebDAV)サーバーを使用してローダーを配布するBumblebeeのキャンペーンを公表した。攻撃チェーンは、特に2022年7月からインターネットからダウンロードしたOfficeファイルのマクロをデフォルトでブロックするようMicrosoftが始めたことを受け、脅威アクターがアプローチを変更し多様化するよう促したマクロ有効文書の依存に特徴がある。
Bumblebeeの復活は、QakBot、ZLoader、PikaBotの新しいバリアントの再出現とも一致している。QakBotのサンプルは、Microsoft Software Installer(MSI)ファイルの形で配布されている。サイバーセキュリティ企業Sophosによると、「.MSIはWindows .cab(キャビネット)アーカイブをドロップし、それがDLLを含んでいる。.MSIは.cabからDLLを抽出し、シェルコードを使用して実行する。シェルコードはDLLの2つ目のコピーを生成し、ボットコードを2つ目のインスタンスのメモリ空間に注入する」とのことである。
最新のQakBotアーティファクトは、文字列やその他の情報を隠すために使用される暗号化を強化しており、DaveCrypterと呼ばれる暗号化マルウェアを使用することで、分析をより困難にしている。新世代はまた、マルウェアが仮想マシンまたはサンドボックス内で実行されているかどうかを検出する能力を再導入している。重要な変更点の一つに、マルウェアとコマンドアンドコントロール(C2)サーバー間の全通信をAES-256を使用して暗号化することが含まれ、これは2023年8月にQakBotのインフラストラクチャが解体される前のバージョンで使用されていた方法よりも強力である。
この発展は、Barclaysなどの金融機関を模倣したフィッシングサイトが、存在しない問題を解決するためにと称してAnyDeskなどの正規のリモートデスクトップソフトウェアをダウンロードさせ、最終的に脅威アクターがマシンを制御することを可能にする新しいキャンペーンがMalwarebytesによって明らかにされた時と同時である。
【ニュース解説】
2024年2月、米国のビジネスを標的にした新たなフィッシングキャンペーンの一環として、Bumblebeeマルウェアが4ヶ月ぶりに再登場しました。このキャンペーンでは、OneDriveのURLを含むボイスメールをテーマにした誘引が使用され、これらのURLは特定のWordファイルにリンクしています。これらの文書を開くと、VBAマクロを介してBumblebeeローダーがダウンロードされ、実行されます。Bumblebeeは、ランサムウェアなどの悪意あるソフトウェアをダウンロードし、実行するために設計されたマルウェアです。
このマルウェアの復活は、サイバーセキュリティの世界において重要な意味を持ちます。特に、MicrosoftがインターネットからダウンロードしたOfficeファイルのマクロをデフォルトでブロックするようになった後、脅威アクターが新たな手法を模索していることを示しています。また、QakBotやZLoaderなどの他のマルウェアの新しいバリアントの出現と同時に起こっていることから、サイバー犯罪者がより巧妙で、検出を避けるための新しい戦術を開発していることが伺えます。
このようなマルウェアの進化は、企業や個人が直面するサイバーセキュリティのリスクを高めます。特に、Bumblebeeのようなマルウェアは、ランサムウェア攻撃への道を開くことができ、企業のデータやシステムを人質に取ることが可能です。これにより、企業は重大な財務的損失や信頼の損失に直面する可能性があります。
一方で、このニュースはサイバーセキュリティ対策の重要性を再確認させます。企業や個人は、定期的なセキュリティトレーニング、ソフトウェアの更新、強力なパスワードポリシーの実施など、基本的なセキュリティ対策を徹底することが重要です。また、不審なメールやリンクには注意し、未知のソースからのファイルのダウンロードを避けるべきです。
長期的には、サイバーセキュリティの技術と戦略の進化が、このような脅威に対抗するために不可欠です。AIや機械学習を活用したセキュリティソリューションの開発、国際的な協力によるサイバー犯罪の取り締まりの強化など、多角的なアプローチが求められます。サイバーセキュリティは常に進化する脅威に対応するために、革新的な対策と連携が必要とされる分野であり続けます。
from Bumblebee Malware Returns with New Tricks, Targeting U.S. Businesses.
