Netskopeは10月18日(米国時間)、「New Bumblebee Loader Infection Chain Signals Possible Resurgence - Netskope」において、マルウェアローダー「Bumblebee」の復活を確認したと報じた。2024年5月にユーロポールが実施した「Endgame作戦」によりマルウェアのエコシステムは破壊されたと考えられていたが、最近のキャンペーンにてマルウェアの配布に使用されたことが確認された(参考:「Largest ever operation against botnets hits dropper malware ecosystem | Europol」)。

  • New Bumblebee Loader Infection Chain Signals Possible Resurgence - Netskope

    New Bumblebee Loader Infection Chain Signals Possible Resurgence - Netskope

新しい侵害経路

新しく発見されたBumblebeeの初期侵害経路はフィッシングメールとされる。攻撃者は被害者を誘導してZIPファイルをダウンロードさせ、悪意のあるリンクファイル「Report-41952.lnk」を実行させる。

リンクファイルはPowerShellコマンドを実行する構造になっており、リモートからMSIファイルをダウンロードして自動インストールを開始する。MSIファイルにはBumblebeeペイロードが含まれており、インストーラーのメモリ空間に直接ロードされて実行される。

Netskopeはこれ以上の分析結果を明らかにしていないが、今後もBumblebeeの活動を監視し、新しい情報が得られ次第、分析結果を公開すると説明している。

同社は、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「NetskopeThreatLabsIOCs/Malware/Bumblebee at main · netskopeoss/NetskopeThreatLabsIOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。