初期ネットワークアクセスに使用される新しいBumblebeeマルウェアダウンローダー

Bumblebeeは、以前にBazaLoaderを配信した複数の脅威アクターによって使用される新しいマルウェアダウンローダーの名前です。 IcedID. 言い換えると, これらの脅威アクターは、2つのマルウェアを新しいバンブルビーに置き換えました. BazaLoader, 特に, 2月以降、アクティブなキャンペーンで観察されていません 2022, Proofpointの研究者は言った.

マルハナバチマルウェアダウンローダーとは?

最初に注意すべきことは、Bumblebeeマルウェアはまだ開発段階にあるということです。.

これは、C++でコーディングされたダウンローダーです。. その技術仕様に関して, 研究者によって分析された最初のBumblebeeDLLサンプルには、2つのエクスポートが含まれています, そのうちの1つは、Bumblebeeメイン関数のスレッドを直接開始します. もう1つは、同じ主な機能につながるように設計されています, ただし、フックが主要なダイナミックリンクライブラリ内に配置されているかどうかを確認するためのチェックも追加されます (DLL).

マルハナバチのほとんどは単一の機能に凝縮されています, これにより、初期化が行われるほとんどのマルウェアとは異なります, リクエスト送信, 応答処理はさまざまな機能に分かれています.

次, “ローダーは、ボットネット識別子として効果的に使用されるグループIDをコピーすることから始まります。. 他のほとんどのマルウェアとは異なり, Bumblebeeは現在、その構成をプレーンテキストで保存しています。, しかし、Proofpointは、将来的に難読化が追加される可能性があると考えています. グループIDをコピーして, ローダーは、ロードプロセスの後半でインジェクションを適切に実行できるようにするさまざまなNTDLL関数のアドレスを解決します。,” 研究者は説明した.

マルハナバチマルウェアの配布

マルハナバチの蔓延は、マルハナバチの消失と一致します BazaLoader. BazaLoaderは昨年、不正なコールセンターを使用してユーザーをだまし、マルウェアを自分のマシンにダウンロードさせる悪意のあるキャンペーンを通じて広く配布されました。. BazaCallキャンペーンは、当初予想されていたよりも危険であることが判明しました. 脅威レベルが高い理由は, バックドア機能は別として, BazaLoaderは、リモートの攻撃者に「影響を受けるユーザーのデバイスでのハンズオンキーボード制御」を許可する可能性があります,」完全なネットワーク侵害を実行できるようにします.

今, BumblebeeダウンローダーはBazaLoaderを置き換えるためにここにあります. これらの新しいキャンペーンの背後にある脅威アクターは、結果として生じるランサムウェア感染にリンクされた悪意のあるペイロードに関連付けられています.

配布に関して, ProofPointはマルウェアが使用していると述べました マルスパムキャンペーン 複数の配信技術を使用して、少なくとも3人の追跡された脅威アクターによって開始されます. 「誘惑しながら, 配信技術, ファイル名は通常、キャンペーンを配布するさまざまな脅威アクターに合わせてカスタマイズされます, Proofpointは、キャンペーン全体でいくつかの共通点を観察しました, ショートカットファイルとDLLを含むISOファイルの使用や、同じ週に複数のアクターが使用する共通のDLLエントリポイントなど,」と報告書は述べています.

マルハナバチマルウェアが複数のサイバー犯罪者によって使用されているという事実とその生成のタイミングは、脅威の状況が著しく変化していることを示しています. マルウェアキャンペーンの詳細のため, 研究者たちはまた、作戦の背後にある脅威アクターは初期アクセスブローカーであると信じています. 初期ネットワークアクセス 組織のネットワーク内に悪意のあるハッカーを巻き込むものです. それを販売している脅威アクターは、日和見キャンペーンと標的型攻撃者の間に架け橋を作ります. ほとんどの場合, これらはランサムウェアオペレーターです.

結論は, 解析 Proofpointが実施, マルウェアがまだ開発中であるという事実, マルハナバチが複数のキャンペーンでさまざまな脅威アクターによって引き続き使用される可能性を強調しています.