Bumblebeeはローダー型マルウェアです。
これまでも何度も活動が注視され研究されてきています。
ここのところ、Bumblebeeの活動は不活性化しているように見えていました。
2024年5月末に実施されたOperation Endgameの成果だったということに思えます。
しかし、またBumblebeeは活動を再開しています。
- 始まり
初期感染はフィッシングメールです。
メールにはそれっぽいZIPファイルがついています。
巧みな文面で、このZIPを展開させます。 - LNKを開く
展開したZIPのなかにはLNKファイルが含まれます。
攻撃者はこれを被害者に開かせます。
ここまでが被害者の行動が関与する部分です。
以降の感染のプロセスはすべて自動で進んでいきます。 - powershell
LNKはpowershellスクリプトの起動へと繋がります。
起動されたpowershellスクリプトは外部からファイルをダウンロードします。 - MSI
powershellスクリプトがダウンロードしたファイルはMSIファイルです。
MSIファイルはmsiexecコマンドによって開かれてペイロードを展開します。
こっそりと展開するためにmsiexecには「/qn」オプションが指定されます。
「/qn」は「/quiet」と同じ効能のオプションで、「ユーザーの操作なしでインストール」です。 - DLLのメモリへの読み込み
MSIを使ったペイロードの展開はこれまでも利用されてきていますが、今回の観測された事例では、そのあたりの手法に変化がありました。
これまでの例では、MSIをmsiexecで動作させた際に別の新たなプロセスを起動する形式がとられていました。
この方式は、msiexecから作成されるプロセスを監視するセキュリティ製品で検出されることにつながる方式です。
ここが変更されました。
今回使用されたのは、SelfRegテーブルでした。
SelfRegテーブルは自己登録される必要があるモジュールに関する情報が含まれています。
ここにDLL形式のペイロードを指定しておけば、攻撃実行機構の搭載されたDLLをこっそりメモリにロードできる、というわけです。 - Bumblebee動作開始
メモリに読み込まれたDLLはメモリ上で展開されBumblebeeとしての活動を開始します。
展開までの動きに変更はありましたが、展開されて動作するBumblebeeはこれまでのものと同様のものです。
この手法はBumblebeeとして確認された例はこれまでなかったのですが、他の脅威活動での利用が確認されている手法でした。
いろいろな段階を構成する多数の脅威アクターが入り乱れ、どこかの誰かが考案した手法を他の脅威の活動に転用していくようなことになっています。
手法を見つけ出すのは脅威アクターだけではなく、セキュリティ研究者によるPoCが新しい手法の開発のような効能となってしまっているケースも少なくありません。
こう書くと、PoCの情報公開は良いことではないように思えてしまうかもしれません。
しかし、そうではありません。
その新しい研究成果や情報は、あなたが知らなかったとしても、どこかの誰かが知っているのです。
そして、その情報は利用されていきます。
悪意を持って利用すればそれが脅威となり、善意を持って使用すればそれは対策となります。
新しい情報を知ることから始めること、ということに思えます。
New Bumblebee Loader Infection Chain Signals Possible Resurgence
https://www.netskope.com/blog/new-bumblebee-loader-infection-chain-signals-possible-resurgence
| この記事をシェア |
|
|---|
