今年 XNUMX 月に初めて出現した、特に悪質なマルウェア ローダーである Bumblebee の新しい分析によると、企業ネットワークの一部であるシステムのペイロードは、スタンドアロン システムのペイロードとは大きく異なることが示されています。
ドメインの一部のように見えるシステム (たとえば、同じ Active Directory サーバーを共有している可能性があるシステム) では、マルウェアは Cobalt Strike などの高度なエクスプロイト後のツールをドロップするようにプログラムされています。 一方、Bumblebee がワークグループ (またはピアツーピア LAN) の一部であるマシンに到達したと判断した場合、ペイロードは一般的にバンキングおよび情報窃盗を行う傾向があります。
さまざまなマルウェア
「被害者の地理的な場所は、マルウェアの動作に影響を与えていないようでしたが、私たちは観察しました。 非常に大きな違い チェック・ポイントは今週、マルウェアの最近の分析に基づいたレポートで、マシンに感染した後の Bumblebee の動作の違いを指摘しています。
「被害者が WORKGROUP に接続している場合、ほとんどの場合、被害者は DEX コマンド (ダウンロードと実行) を受け取り、ディスクからファイルをドロップして実行します」と Check Point は述べています。 ただし、システムが AD ドメインに接続されている場合、マルウェアは Download and Inject (DIJ) または Download shellcode and Inject (SHI) コマンドを使用して、Cobalt、Strike、Meterpreter、Silver などの高度なペイロードをダウンロードします。
Check Point の分析は、研究者が最初にマルウェアを実環境で観察してから約 2022 か月の間に、Bumblebee に関する研究量の増加に拍車をかけています。 このマルウェアは、いくつかの理由で注目を集めています。 その XNUMX つは、複数の脅威グループ間で比較的広く使用されていることです。 XNUMX 年 XNUMX 月の分析で、Proofpoint の研究者は、少なくとも XNUMX つの異なる脅威グループ Conti や Diavol などのランサムウェアを含む、感染したシステムにさまざまな第 XNUMX 段階のペイロードを配信するために Bumblebee を配布します。 Google の脅威分析グループは、Bumblebee を配布している攻撃者の XNUMX 人を特定しました。 初期アクセス ブローカー 彼らは「Exotic Lily」として追跡しています。
Proofpoint やその他のセキュリティ研究者は、Bumblebee は、以前は BazaLoader に関連付けられていた脅威アクターによって使用されていると説明しています。 映画ストリーミング サービスを装った、しかし、2022年XNUMX月にシーンから姿を消しました.
洗練された、常に進化する脅威
Bumblebee が注目を集めているもう XNUMX つの理由は、セキュリティ研究者がその洗練度にあると述べていることです。 彼らは、仮想化対策とサンドボックス対策のチェック、暗号化されたネットワーク通信、実行中のプロセスをチェックしてマルウェア分析活動の兆候をチェックする機能を指摘しています。 Check Point によると、他の多くのマルウェア ツールとは異なり、Bumblebee の作成者はカスタム パッカーを使用して、マルウェアを配布する際にパックまたはマスキングを行っています。
攻撃者は、さまざまな戦術を使用して Bumblebee を配信しています。 最も一般的なのは、DLL のようなバイナリを ISO または VHD (またはディスク イメージ) ファイル内に埋め込み、フィッシングまたはスピア フィッシング メールで配信することです。 マルウェアは、脅威アクターがどのように持っているかの例です コンテナ ファイルを使用してマルウェアを配信し始めた Microsoft は、Office マクロ (以前は好んで使用していた感染経路) を Windows システムでデフォルトで実行することを無効にしました。
バンブルビーの絶え間ない進化は、もう 2 つの懸念事項です。 Check Point は今週のレポートで、このマルウェアが過去数か月にわたって「絶え間なく進化」してきたことを指摘しました。 例として、セキュリティ ベンダーは、その作成者が ISO ファイルの使用から PowerShell スクリプトを使用して VHD 形式のファイルに一時的に切り替えた後、ISO に戻す方法を指摘しました。 同様に、XNUMX 月初旬まで、Bumblebee のコマンド アンド コントロール サーバーは、同じ犠牲者の IP アドレスから感染した犠牲者を XNUMX 人しか受け入れませんでした。 「これは、同じパブリック IP でインターネットにアクセスしている組織内の複数のコンピューターが感染した場合、CXNUMX サーバーは最初に感染したコンピューターのみを受け入れることを意味します」と Check Point は述べています。
しかし、マルウェアの作成者は最近、この機能をオフにしました。つまり、Bumblebee の C2 サーバーは、同じネットワーク上の複数の感染したシステムと通信できるようになりました。 チェック・ポイントは、マルウェアの作成者が最初はマルウェアをテストしただけで、現在はその段階を過ぎていると理論付けました。
Check Point や Proofpoint などの他のベンダーは、組織が環境内の脅威を検出してブロックするのに役立つように、Bumblebee で侵害のインジケーターを利用できるようにしました。
