Last Updated on 2024-02-15 06:15 by
Bumblebeeマルウェアが4ヶ月の沈黙を破り、再び活動を開始した。このマルウェアは2022年にProofpointの研究者によって初めて発見され、高プロファイルのランサムウェアグループ、特にロシアにリンクされるContiグループによって使用されていた。しかし、今回の活動再開では、以前とは「大きく異なる」攻撃チェーンを採用しており、特に古風な手法であるVBAマクロを利用していることが指摘されている。これは、Bumblebeeを作成した当初の熟練したオペレーターとは異なる手がかりである可能性がある。
最新のキャンペーンでは、米国の組織をターゲットに「Voicemail February」という件名の電子メールが[email protected]から送信されている。このメールにはOneDriveのURLへのリンクが含まれており、そのURLからはマルウェアを埋め込んだMicrosoft Word文書にアクセスできる。Microsoftは1年以上前にVBAマクロをデフォルトでブロックするよう製品を更新していたが、このキャンペーンはそれに反している。
Proofpointによると、2022年3月以降に観測されたBumblebeeの使用例のうち、マクロを使用したのはわずか5回であり、その大部分はより進化した攻撃手法を採用していた。例えば、悪意のあるDLL、HTMLスマグリング、LNKファイル、圧縮されたVBS添付ファイルなどが使用されていた。
もし被害者のシステムがデフォルトでWordマクロを再有効化しており、このBumblebeeチェーンがトリガーされた場合、マクロはWindowsのtempディレクトリにスクリプトを作成し、一連のPowerShellコマンドを実行してBumblebee DLLをダウンロードし実行する。Proofpointは、このキャンペーンでどのような後続のペイロードが使用されるかは明言していないが、過去にはCobalt Strike、シェルコード、SliverなどのマルウェアがBumblebeeによって配布されていたことを観測している。
このキャンペーンは、その時代遅れの攻撃手法やメールのテーマの不一致、基本的な悪意のある添付ファイルなどから、容易に識別可能であるとされている。Proofpointは、このキャンペーンが以前のBumblebeeキャンペーンを行っていた北朝鮮に関連するTA579とは関連がないと考えているが、2024年における脅威アクターの活動の増加を示していると警告している。
【ニュース解説】
Bumblebeeマルウェアが、一時的な沈黙を破り、再び活動を開始したことが報告されました。このマルウェアは、2022年に初めて発見され、特にロシアにリンクされる高プロファイルのランサムウェアグループであるContiグループによって使用されていました。しかし、今回の活動再開では、以前とは異なり、古風な攻撃手法であるVBAマクロを利用していることが特徴です。これは、Bumblebeeを開発した当初の熟練したオペレーターではない可能性を示唆しています。
最新のキャンペーンでは、「Voicemail February」という件名で、米国の組織をターゲットにした電子メールが送信されています。これらのメールには、マルウェアを埋め込んだMicrosoft Word文書へのリンクが含まれており、MicrosoftがVBAマクロをデフォルトでブロックするように製品を更新してから1年以上が経過しているにもかかわらず、この攻撃手法が採用されています。
Proofpointの研究によると、2022年3月以降に観測されたBumblebeeの使用例では、マクロを使用したのはわずか5回で、その他の攻撃ではより進化した手法が採用されていました。これには、悪意のあるDLL、HTMLスマグリング、LNKファイル、圧縮されたVBS添付ファイルなどが含まれます。
もし被害者のシステムがデフォルトでWordマクロを再有効化しており、このBumblebeeチェーンがトリガーされた場合、マクロはWindowsのtempディレクトリにスクリプトを作成し、一連のPowerShellコマンドを実行してBumblebee DLLをダウンロードし実行します。過去には、Cobalt Strike、シェルコード、SliverなどのマルウェアがBumblebeeによって配布されていたことが観測されています。
このキャンペーンは、その時代遅れの攻撃手法やメールのテーマの不一致、基本的な悪意のある添付ファイルなどから、容易に識別可能であるとされています。しかし、Proofpointは、このキャンペーンが以前のBumblebeeキャンペーンを行っていた北朝鮮に関連するTA579とは関連がないと考えていますが、2024年における脅威アクターの活動の増加を示しています。
この事例は、サイバーセキュリティの世界において、攻撃者が古い手法に戻ることがあることを示しています。また、組織や個人は、セキュリティ対策を常に最新の状態に保ち、疑わしい活動を識別する訓練を受けることの重要性を強調しています。さらに、攻撃者が常に新しい攻撃手法を模索しているため、セキュリティ研究者や専門家は、これらの脅威に対抗するために新しい防御戦略を開発し続ける必要があります。
from Bumblebee malware wakes from hibernation, forgets what year it is, attacks with macros.
“Bumblebeeマルウェア、沈黙破り米国組織を狙う再活動開始” への1件のコメント
このニュースに関して、私が感じることは、技術の進化に伴い、私たちの生活が便利になる一方で、その陰で潜む危険もまた進化し続けているということです。Bumblebeeマルウェアのように、一時的に沈黙したと思われていた脅威が再び現れ、しかも古い手法を使っているというのは、油断大敵という言葉を思い出させますね。
私たち一般人には、高度な技術知識がなくても、基本的なセキュリティ対策を行うことが大切だと改めて感じます。例えば、不審なメールには決して添付ファイルを開かない、定期的にパスワードを変更する、セキュリティソフトを常に最新の状態に保つなど、基本的なことですが、これが結局は最も重要な対策かもしれません。
また、このニュースは、私たちがどれだけ情報化社会に依存しているかを示しているとも感じます。私の若い頃に比べれば、今の時代は情報があふれていますし、その速度も格段に速い。しかし、その便利さの裏では、こうしたマルウェアという脅威が常に存在しているわけですから、情報技術の進歩と共に、私たちの意識もまた進化させていく必要があると思います。
最後に、このような攻撃が行われる背景には