新たなローダーとして注目されるBumblebeeマルウェア、Emotetによる配布が確認される

2022年11月24日
コラム
BazarLoader, Bumblebee
0件

　サイバーセキュリティ企業のパロアルトネットワークスの脅威分析チームUnit42によると、EmotetからBumblebeeがドロップされるケースが確認されているようです。Bumblebeeとはマルハナバチというミツバチ科のハチを意味しているようですが、どのようなマルウェアなのでしょうか?

Bazarloaderと置き換わっている

　TrickbotはランサムウェアのRyukをダウンロードするローダーとして使われ、BazarloaderはランサムウェアのContiをダウンロードするローダーとして使われてきました。BumblebeeはTrickbotやBazarloaderと同じようにローダーとしての機能をもつマルウェアで、Quantumランサムウェアなどと関係しているとみられているようです。

　Unit42によると、マルハナバチを意味するBumblebeeという名前は感染後のHTTPSトラフィックで生成されるUser-Agent文字列に「bumblebee」が使われていることに由来するということです。Bazarloaderは、Contiランサムウェアに関係している初期アクセスブローカーのProjector Libra(別名EXOTIC LILY)、TA551、TA578と呼ばれる攻撃者や偽のコールセンターを使ったBazarCallキャンペーンで配布されてきましたが、2022年2月以降、BazarloaderはBumblebeeに置き換わっており、例えばTA578の攻撃者はBazarLoaderとIcedIDを使っていたのを2022年3月以降はBumblebeeとIcedIDを使っているということです。

　シマンテックによるとBumblebeeは、Conti、Quantum、MountLockerなど多くのランサムウェアに関連付いており、TrickbotおよびBazarloaderの代替ローダーとして導入された可能性があるということです。そして有名なランサムウェアのオペレーションとリンクしていることから、Bumblebeeはサイバー犯罪ビジネスにおけるエコシステムの「震源地」にあるとの見解を示しています。

Unit42ツイート「Emotet感染でBumblebeeを確認」

　プルーフポイントは、最近、復活したEmotetの動向をまとめたレポートを発表しました。それによると、復活したEmotetは1日に数十万件の電子メールを配信しており、標的となっている国は米国、英国、日本、ドイツ、イタリア、フランス、スペイン、メキシコ、ブラジルなどで、これは一時中断した今年7月の前の状況と大きな変わりはないということです。プルーフポイントによると、復活したEmotetが最初にドロップしたペイロードはIcedIDローダーの新しい亜種だということです。プルーフポイントはIcedIDのドロップに加え、BumblebeeがEmotetによってドロップされていることを明らかにしていますが、これはUnit42が11月7日にツイッターに投稿した内容を受けたもののようです。

　11月7日のUnit42のツイッター投稿では、Emotetの感染からIcedIDを確認したことを明らかにするとともに、Bumblebeeマルウェアをも確認したとして、それを示す画像を投稿しています。ランサムウェアなどに見られる今日のサイバー犯罪は、特定の人やグループが犯罪を起こしているということではなく、犯罪ビジネスとしてシステムが構築され、そこに多くの組織や人が関与している実態があります。そうしたサイバー犯罪のシステムの中でもEmotetは初期アクセスのための基礎的なインフラを担っていることから重要視されるわけですが、ランサムウェアを配布するローダーとしての機能をもつマルウェアについてもサイバー犯罪システムにおいて基本的なマルウェアとなることから、今回、BazarloaderなどのローダーがBumblebeeという新たなマルウェアに置き換わり、Emotetでも配布されていることが今後のサイバー犯罪の動向にどのような変化をもたらすのか、サイバーセキュリティの研究者たちは注目しています。

■出典

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/bumblebee-loader-cybercrime

https://unit42.paloaltonetworks.jp/bumblebee-malware-projector-libra/

https://www.proofpoint.com/us/blog/threat-insight/comprehensive-look-emotets-fall-2022-return

https://twitter.com/Unit42_Intel/status/1590002190298804225