Bumblebeeマルウェアが4ヶ月の休止期間を経て、新たな攻撃キャンペーンを通じて再び現れました。このキャンペーンは、数千の組織を対象とした新しいメールキャンペーンを特徴とし、多様なペイロードを配布する初期アクセスローダーとして機能します。Bumblebeeは2022年3月に初めて登場し、昨年10月まで、複数のサイバー犯罪グループによって情報窃取ツール、バンキングトロイの木馬、コンプロマイズ後のツールなど様々なペイロードを配布するための好まれるマルウェアローダーとして頻繁に使用されていました。
最近のキャンペーンでは、”Voicemail February”という件名のメールが”info@quarlesaa[.]com”から送信され、悪意のあるMicrosoft OneDriveのURLが含まれています。これらのURLは、消費者向け電子機器会社Humaneを装ったWordファイルにリンクしており、最終的にはPowerShellコマンドを使用してBumblebee DLLファイルをダウンロードし、実行することでさらなる悪意のある活動への入り口となります。
Proofpointの研究者たちは、このローダーの復活が今後のサイバー犯罪活動の増加の前触れであると指摘しています。2024年はサイバー犯罪者にとって活動が非常に高いレベルに戻り、新しい創造的な攻撃チェーン、検出回避の試み、更新されたマルウェアが多くの犯罪者や未帰属の脅威クラスターから観察されています。これらの活動は夏まで続くと予想されます。
また、このキャンペーンは、Microsoftが2022年にマクロをデフォルトでブロックするようになって以来、脅威アクターによってあまり使用されていないVBAマクロ有効ドキュメントを使用している点で、以前の攻撃とは異なります。Wordドキュメントはマクロを使用してWindows一時ディレクトリにスクリプトを作成し、”wscript”ユーティリティを使用して実行します。この一時ファイルには、リモートサーバーから次のステージをダウンロードして実行するPowerShellコマンドが含まれており、その次のステージでは別のPowerShellコマンドがBumblebee DLLをダウンロードして実行します。
Proofpointは、この最新のBumblebeeキャンペーンを特定の脅威アクターには帰属していませんが、使用されたOneDriveのURLと送信者アドレスは以前のTA579の活動と一致していると述べています。また、組織がこの悪意のあるメールキャンペーンを識別し、フィッシングやその他の標的型詐欺を見分けるための従業員トレーニングの実施、怪しいメッセージを従業員の受信箱に届く前にフラグを立てるメールセキュリティスキャンソフトウェアの実装など、基本的なセキュリティベストプラクティスを採用することで、悪意のあるメールキャンペーンによる侵害を避けることができると助言しています。
【ニュース解説】
Bumblebeeマルウェアが4ヶ月のブレイクを経て、新たな攻撃キャンペーンを通じて再び表面化しました。このキャンペーンは、特にアメリカの数千の組織をターゲットにしており、悪意のあるメールを通じて多様なペイロードを配布する初期アクセスローダーとして機能します。Bumblebeeは、情報窃取ツールやバンキングトロイの木馬など、さまざまな悪意のあるソフトウェアを配布するために使用されています。
この最新のキャンペーンでは、”Voicemail February”という件名のメールが送信され、悪意のあるMicrosoft OneDriveのURLが含まれています。これらのURLは、Wordファイルにリンクしており、そのWordファイルはPowerShellコマンドを使用してBumblebee DLLファイルをダウンロードし、実行することで、さらなる悪意のある活動への入り口となります。
このキャンペーンの特徴的な点は、Microsoftが2022年にマクロをデフォルトでブロックするようになって以来、脅威アクターによってあまり使用されていないVBAマクロ有効ドキュメントを使用していることです。この戦略の変更は、サイバー犯罪者が検出を回避しようとする新しい試みの一環と見られます。
このローダーの復活は、サイバー犯罪活動の増加の前触れであるとされています。2024年はサイバー犯罪者にとって活動が非常に高いレベルに戻り、新しい創造的な攻撃チェーンや更新されたマルウェアが多くの犯罪者や未帰属の脅威クラスターから観察されています。
このような攻撃キャンペーンの増加は、組織にとって重大なセキュリティ上のリスクをもたらします。従業員がフィッシングやその他の標的型詐欺を見分けるためのトレーニングの実施や、メールセキュリティスキャンソフトウェアの実装など、基本的なセキュリティ対策の徹底がこれまで以上に重要になっています。
また、このキャンペーンは、サイバーセキュリティの環境が常に進化していることを示しています。サイバー犯罪者は新しい技術や戦略を継続的に採用しており、防御側もこれに対応するためには、常に警戒を怠らず、最新の脅威情報に基づいた対策を講じる必要があります。このような状況は、サイバーセキュリティの専門家にとっては挑戦であり、組織全体でセキュリティ意識を高め、適切な対策を講じることが不可欠です。
from BumbleBee Malware Buzzes Back on the Scene After 4-Month Hiatus.
