Cybereasonは8月17日(米国時間)、「THREAT ANALYSIS REPORT: Bumblebee Loader – The High Road to Enterprise Domain Control」において、新たなマルウェアローダに関する脅威分析レポートを公開した。同レポートは、2022年3月に発見された「Bumblebee」と呼ばれるマルウェアローダに関する分析結果を報告している。

  • THREAT ANALYSIS REPORT: Bumblebee Loader – The High Road to Enterprise Domain Control

    THREAT ANALYSIS REPORT: Bumblebee Loader – The High Road to Enterprise Domain Control

BumblebeeはGoogle Threat Analysis Groupによって観測された新たなマルウェアローダ。コマンド&コントロール(C2: Command and Control)サーバとの通信の一部に使われている独自のユーザーエージェントからこの名がつけられている。このマルウェアローダの主な目的は権限昇格や偵察、クレデンシャルの窃取とされている。

CybereasonによるBumblebeeの主な分析結果は次のとおり。

  • 感染の大部分は、エンドユーザーがシステムバイナリを使用してマルウェアをロードするLNKファイルの実行によってはじまる。配布には、添付ファイルまたはリンクが付いたフィッシングメールが使われている。
  • オペレーターは集中的な偵察活動を行い、実行されたコマンドの出力をファイルにリダイレクトして流出させる。
  • 攻撃者はActive Directoryを侵害し、ユーザーのログイン名やパスワードなどの機密データを横移動のために利用する。最初のアクセスからActive Directoryの侵害までに要した時間は、2日未満とされている。
  • 活発に開発中であるとされ、多くの脅威者が選択するローダになりつつあると予測している。
  • サイバー攻撃の深刻度は緊急(Critical)として取り扱うことを推奨している。

Bumblebeeの脅威を防ぐため、インターネットからダウンロードしたファイルや外部ソースから送信された電子メールは安全に処理すること、定期的なバックアップを取ること、安全なパスワードの使用やパスワードのローテーションおよび多要素認証(MFA: Multi-Factor Authentication)の導入などが勧められている。