編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

新種の「Bumblebee」マルウェア、ランサムウェアエコシステムの中核に

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2022-06-30 12:27

 最近作り出された「Bumblebee」というマルウェアがまたたく間に、ランサムウェア攻撃を支える重要なコンポーネントになったという。

キーボードを打つ手
提供:Getty

 Bumblebeeを分析したSymantecのサイバーセキュリティ研究者らによると、同マルウェアは「Conti」や「Mountlocker」「Quantum」といったランサムウェア攻撃とのつながりを有しているという。

 SymantecのThreat Hunterチームの主席脅威分析エンジニアであるVishal Kamble氏は「Bumblebeeは数多くの悪名高いランサムウェア攻撃とのつながりがある点から、同マルウェアがサイバー犯罪エコシステムの中心に据えられていると考えられる」と同社ブログに記している。

 最近発生したQuantumキャンペーンでは、Bumblebeeがランサムウェアを送り込むために利用されていることが明らかになった。このキャンペーンは、ISO形式のファイルが添付されたフィッシング電子メールによって開始される。この添付ファイルにはBumblebeeのローダーが隠されており、添付ファイルのオープンをきっかけとして、標的となったマシン上でローダーが実行される。

 攻撃者はBumblebeeを用いることで、PC上にバックドアを設置でき、そこから運用を制御し、コマンドを実行できるようになる。さらに攻撃者は侵入テストツール「Cobalt Strike」をそのシステム上で実行することで、さらなる制御権限を得るとともに、攻撃の展開に役立つさらなる情報をPCから収集できるようにする。

 この後Bumblebeeは、被害者のマシン上にあるファイルを暗号化するためのQuantumランサムウェアのペイロードを展開する。類似のテクニックは、ContiやMountlockerといったランサムウェア攻撃を遂行するグループのキャンペーンでも用いられている。研究者らは、Bumblebeeが過去のキャンペーンで用いられていたバックドアの地位を獲得したと考えている。

 Kamble氏は「過去の攻撃で『Trickbot』ローダーや『BazarLoader』ローダーとのつながりがあるものと、最近の攻撃でBumblebeeとのつながりがあるものの間にはある種の共通点があるところから、BumblebeeはTrickbotやBazarLoaderの代替として導入されてきていると考えられる」と記している。

 フィッシングは、さまざまなランサムウェアキャンペーンで共通して用いられている手法だ。Symantecの研究者らが今回取り上げているケースでは、Bumblebeeはフィッシングメールによって送り込まれていたが、ランサムウェア攻撃者らはフィッシング攻撃によってユーザー名やパスワードも窃取しており、特にクラウドベースのアプリケーションやサービスのものが狙われている。

 攻撃者らはこれによってネットワーク内に侵入できるだけでなく、(ハッキングに成功した場合には)正規のアカウントを用いることで、悪意のあるアクティビティーを簡単には検知されないようなる可能性もある。実際に検知が遅れ、ランサムウェア攻撃が実行されてしまうケースも多い。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]