最近作り出された「Bumblebee」というマルウェアがまたたく間に、ランサムウェア攻撃を支える重要なコンポーネントになったという。
提供:Getty
Bumblebeeを分析したSymantecのサイバーセキュリティ研究者らによると、同マルウェアは「Conti」や「Mountlocker」「Quantum」といったランサムウェア攻撃とのつながりを有しているという。
SymantecのThreat Hunterチームの主席脅威分析エンジニアであるVishal Kamble氏は「Bumblebeeは数多くの悪名高いランサムウェア攻撃とのつながりがある点から、同マルウェアがサイバー犯罪エコシステムの中心に据えられていると考えられる」と同社ブログに記している。
最近発生したQuantumキャンペーンでは、Bumblebeeがランサムウェアを送り込むために利用されていることが明らかになった。このキャンペーンは、ISO形式のファイルが添付されたフィッシング電子メールによって開始される。この添付ファイルにはBumblebeeのローダーが隠されており、添付ファイルのオープンをきっかけとして、標的となったマシン上でローダーが実行される。
攻撃者はBumblebeeを用いることで、PC上にバックドアを設置でき、そこから運用を制御し、コマンドを実行できるようになる。さらに攻撃者は侵入テストツール「Cobalt Strike」をそのシステム上で実行することで、さらなる制御権限を得るとともに、攻撃の展開に役立つさらなる情報をPCから収集できるようにする。
この後Bumblebeeは、被害者のマシン上にあるファイルを暗号化するためのQuantumランサムウェアのペイロードを展開する。類似のテクニックは、ContiやMountlockerといったランサムウェア攻撃を遂行するグループのキャンペーンでも用いられている。研究者らは、Bumblebeeが過去のキャンペーンで用いられていたバックドアの地位を獲得したと考えている。
Kamble氏は「過去の攻撃で『Trickbot』ローダーや『BazarLoader』ローダーとのつながりがあるものと、最近の攻撃でBumblebeeとのつながりがあるものの間にはある種の共通点があるところから、BumblebeeはTrickbotやBazarLoaderの代替として導入されてきていると考えられる」と記している。
フィッシングは、さまざまなランサムウェアキャンペーンで共通して用いられている手法だ。Symantecの研究者らが今回取り上げているケースでは、Bumblebeeはフィッシングメールによって送り込まれていたが、ランサムウェア攻撃者らはフィッシング攻撃によってユーザー名やパスワードも窃取しており、特にクラウドベースのアプリケーションやサービスのものが狙われている。
攻撃者らはこれによってネットワーク内に侵入できるだけでなく、(ハッキングに成功した場合には)正規のアカウントを用いることで、悪意のあるアクティビティーを簡単には検知されないようなる可能性もある。実際に検知が遅れ、ランサムウェア攻撃が実行されてしまうケースも多い。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。