ハッカーは「バンブルビー」と呼ばれる新しいマルウェアローダーを展開します

研究者は、実際に使用されている新しいマルウェアローダーを発見しました。このツールは「マルハナバチ」と呼ばれ、いくつかの異なるサイバー犯罪者の衣装に関連付けられています。

新しいマルウェアローダーを分解したチームは、セキュリティ会社のProofpointです。チームは、以前は「BazaLoader」や「IcedID」と呼ばれるマルウェアを拡散するためにいくつかの異なるローダーを使用していたいくつかの「犯罪ウェアの脅威の衣装」を追跡していました。 Proofpointは2022年2月以降、古いツールのインスタンスを1つも検出していないため、BazaLoaderを使用している衣装は完全にBumblebeeを使用するようになっているようです。

BazaLoaderがBumblebeeに置き換えられました

Proofpointの観察結果は、Google ThreatAnalysisGroupによって収集されたデータと重複しています。報告によると、BazaLoaderが2月にオンライン環境から姿を消した後、2022年3月に野生で新しいローダーが最初に目撃されたBumblebeeに置き換えられました。

研究者たちは、バンブルビーがまだ活発に開発されていると信じていますが、それにもかかわらず、ローダーはすでに多くの高度な機能を備えています。これらには、仮想サンドボックスをかわすための高度なチェックや、一般的に使用されるダウンローダー機能の元のバリエーションが含まれます。

攻撃は悪意のあるアーカイブとISOファイルを使用します

マルハナバチは悪意のある電子メールキャンペーンで使用されています。ルアーには、被害者に「ドキュメントの確認」を促すリンクが含まれており、請求書がリンクの反対側にあると主張する電子メールが含まれています。もう一方の端にあるのは、ディスクイメージの.isoファイルであり、アーカイブファイルに圧縮され、OneDriveでホストされています。

zipファイルを開くと、その中の.isoが表示されます。それも開くと、その中に2つのファイルが表示されます。どちらも「アタッチメント」と名付けられています。 1つは.lnkショートカットファイルで、もう1つはサイズが2メガバイトをわずかに超える.datファイルです。

ショートカットファイルが実行されると、.datファイルからBumblebeeがロードされ、ローダーがデプロイされます。

Proofpointは、現在Bumblebeeを使用しているキャンペーンは、ハンドルTA579を使用する脅威アクターによって実行されていると考えています。

他のいくつかの同様のキャンペーンも観察されました。1つは電子メールスレッドの乗っ取りを使用し、もう1つはWebサイトの「お問い合わせ」セクションを使用して生成された電子メールを悪用しました。配信方法は似ていて、異なる名前のペイロードとショートカット.lnkファイルが再び使用されました。

Proofpointによると、ローダーは、ネットワークにアクセスし、ランサムウェアを含むセカンダリペイロードを配信するためのツールとして使用できます。