Bumblebee本格運用?

ほぼこもセキュリティニュース By Terilogy Worx

Bumblebeeといってもハチではありません。
Bumblebee Loaderと呼ばれるマルウェアの話です。

Bumblebeeは2022年春ごろから観測されるようになったマルウェアです。
当時はいわゆるよくあるローダーとして見える動きをしていました。
しかし、同じパブリックIPでインターネットにアクセスしている組織内の複数のコンピューターが感染した場合、C2サーバーは最初に感染したコンピューターのみを受け入れるという動きをしている点が気になりました。

最初の感染以降、Bumblebeeは多くの変更が加えられてきました。
配布ファイル形式がisoだったものがVHDになったこともありました。
細かな点は多く変更されてきていました。
そんなBumblebeeなのですが、最近また動作に変化があることがわかりました。

  • 複数もOK
    同じパブリックIPでインターネットにアクセスしている組織内の複数のコンピューターが感染した場合に、そのすべてに感染する形式に変更されました。
    この変化によって感染端末数は大きく増加しました。

     

  • 感染環境を判定
    感染環境によって動作を変化させる動きをします。
    感染環境のパソコンがスタンドアロン動作の場合、バンキング型トロイの木馬やVidar
    Stealerなどのインフォスティーラーの攻撃を実施するペイロードを配信します。
    感染環境のパソコンが組織のネットワークに属している場合、CobaltStrike、Sliver、Meterpreterなどのより高度なポストエクスプロイトツールを使った攻撃を実施するペイロードを配信します。
    ちなみにSliverはCobaltStrikeに似た利用ができるtoolkitです。MeterpreterはMetasploitのモジュールですね。
    環境の判定には前述のようなネットワークの種類に加えて位置情報も利用されるようです。

この環境を判定してドロップするペイロードを変化させるという方式には恐怖を覚えます。
攻撃者にとって自由度が高い方式といえます。
同じIPでインターネットに出てくる端末には感染しないという自ら課した制約を外してきた点から想像すると、いよいよ本格運用という感じがします。

手法はいつも変化してくるものではありますが、今の時点ではBumblebeeの初期経路はisoファイルです。
ふと見つけた欲しい内容の入ったisoファイル、もしかしたらBumblebee入りかもしれません。

参考記事(外部リンク):Bumblebee: increasing its capacity and evolving its TTPs
research.checkpoint.com/2022/bumblebee-increasing-its-capacity-and-evolving-its-ttps/