最近発見されたマルウェアローダー「Bumblebee」は、複数の著名なランサムウェアグループと関連していることが判明しており、多くのサイバー攻撃の重要な構成要素となっています。Broadcom Software傘下のSymantec Threat Hunter Teamによる新たな調査結果によると、このツールはConti、Quantum、Mountlockerといった脅威グループと関連していることが、チームのブログ記事で明らかになりました。
シマンテックの脅威ハンターチームによると、Bumblebee ローダーは、最近の Bumblebee 関連の活動とこれらのローダーに関連する以前の攻撃が重複していることから、Trickbot と BazarLoader の代わりとして使用されている可能性があるとのことです。
「[バンブルビー]は、いくつかの古いローダーを置き換えたようだ。これは、既存の攻撃者による仕業であり、バンブルビーへの移行は事前に計画されていたことを示唆している」とチームはブログ投稿に記している。
バンブルビーローダーが脅威となる理由
チームがQuantumランサムウェアに起因する攻撃として特に取り上げた攻撃では、Bumblebeeローダーがどのように実行されるかが詳細に説明されていました。最初の感染は、ISOファイルが添付されたスピアフィッシングメールによって行われました。問題の悪意のあるファイルには、BumblebeeのDLLファイルとLNKファイルが含まれており、rundll32.exeを使用してBumblebeeファイルが読み込まれていました。
チームによると、Bumblebeeローダーはその後、コマンドアンドコントロールサーバーに接続し、%APPDATA%フォルダ内にランダムな名前の複製ファイルを作成したとされています。これと同時に、同じ場所にVBSファイルも作成されました。その後、ローダーはVBSファイルを15分ごとに実行するスケジュールタスクを設定しました。数時間後、ローダーはCobalt Strikeペイロードをドロップしました。この動作により、さらに2つの問題が発生しました。1つは、Metasploit DLLが正規のWindowsプロセスに挿入されたこと、もう1つは、ドメインユーザーやシステムのグループ権限などのシステム情報を収集するAdFindツールから挿入されたことです。
このタスクが完了すると、QuantumランサムウェアはBumblebeeによってアンロードされ、ランサムウェアグループは標的システムのファイルを暗号化することができました。システムに侵入すると、QuantumはWindows Management Instrumentation(WMI)を使用してシステムからユーザー情報を収集することができました。また、ランサムウェアのペイロードは、マルウェア識別に関連するすべてのプロセスを無効化しました。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
バンブルビーと過去の攻撃との関連性
Bumblebeeが前述のツールを使用していることから、Threat Hunterチームは、この新しいローダーとサイバー犯罪グループが以前に使用したツールとの間に関連性があると考えています。その関連性の一つは、Active Directoryを照会するための公開ツールであるAdFindの使用です。AdFindは過去に他の攻撃者によって使用されていました。システム感染を目的としたISOファイルの展開は、2021年6月まで遡る過去の攻撃における最初の感染ポイントでもあり、脅威グループRyukとContiによって使用されていました。
もう一つの関連性は、adf.batと呼ばれるバッチスクリプトの使用です。このバッチスクリプトは、2021年11月まで遡るサイバー攻撃と、これらの攻撃におけるAdFindツールの使用と関連付けられています。このケースでは、ローダーはBazarLoaderであると特定されました。
脅威ハンターチームが調査している攻撃の多くでは、攻撃自体に正規のソフトウェアツールが使用されていることが判明しています。リモートデスクトップツールを使用している組織にとって、これは大きな問題を引き起こす可能性があります。多くのランサムウェアの展開やデータ窃取の目的との関連が指摘されています。シマンテックのチームは、ユーザーと企業に対し、この新しいマルウェアローダーとその機能に注意を払うことを推奨しています。
