Proofpoint Blog 第13回「マルウェアBumblebeeのトランスフォーム」

●主なポイント

・プルーフポイントは、以前は BazaLoader や IcedID の配信をおこなっていた攻撃グループが、新しいマルウェアローダーである「Bumblebee」の配信を開始したことを確認し、追跡しています

・通常、マルウェアキャンペーンで BazaLoader を使用している複数の攻撃グループが、Bumblebee に移行しています。BazaLoader は、2022 年 2 月以降、Proofpoint のデータで確認されていません。

・Bumblebee は活発に開発されており、複雑なアンチ仮想化を含む精巧な回避技術を駆使しています。

・プロセスホロリングや DLLインジェクションを使用する他のほとんどのマルウェアとは異なり、このローダーは、コマンド＆コントロール（C2）から受け取ったコマンドからシェルコードを起動するために、非同期プロシージャコール（APC）インジェクションを利用しています。

・プルーフポイントは、Bumblebee が Cobalt Strike、shellcode、Sliver、および Meterpreter をドロップしていることを確認しました。

・Bumblebee を使用する攻撃グループは、後続段階でランサムウェアキャンペーンに関連するマルウェアのペイロードと関連しています。

●概要

　2022 年 3 月から、プルーフポイントは、Bumblebee と呼ばれる新しいダウンローダーを配信する攻撃キャンペーンを観測しました。現在、既知の攻撃グループを含む少なくとも 3 つの活動クラスターが Bumblebee を配布しています。プルーフポイントが確認したキャンペーンは、Conti および Diavolランサムウェアにつながるものとして Google Threat Analysis Group のブログで詳述されている活動と重複しています。

　Bumblebee は、マルウェアの開発の初期段階であるにもかかわらず、アンチ仮想化チェックと一般的なダウンローダー機能の独自の実装を含む、洗練されたダウンローダーです。Bumblebee の目的は、追加のペイロードをダウンロードし、実行することです。プルーフポイントのリサーチャーは、Bumblebee がCobalt Strike、シェルコード、Sliver、Meterpreter をドロップすることを確認しました。このマルウェアの名前は、初期の攻撃キャンペーンで使用されたユニークなユーザーエージェント「bumblebee」に由来しています。

　Bumblebee がサイバー脅威状況の中で増加している時期は、Proofpoint の脅威データから後続段階での侵害を容易にする人気のペイロードであった BazaLoader が消えたあとの時期と偶然にも一致しています。

●攻撃キャンペーンの詳細

　プルーフポイントのリサーチャーは、少なくとも 3 つの追跡可能な攻撃グループによって、Bumblebee が Eメール攻撃キャンペーンで配布されていることを確認しています。これらの攻撃グループは、Bumblebee を配布するために複数の手法を使用しています。ルアー(おとり文書)、配信テクニック、ファイル名は、通常、攻撃キャンペーンを配信する攻撃グループごとにカスタマイズされていますが、プルーフポイントは、ショートカットファイルや DLL を含む ISOファイルの使用、同じ週のうちに複数の攻撃グループが使用する共通の DLLエントリポイントなど、複数のキャンペーンに共通するいくつかの点を確認しました。

●Bumblebee につながる URL や HTML添付ファイルについて

　2022 年 3 月、プルーフポイントは、DocuSignブランドの Eメール攻撃キャンペーンにおいて、受信者を悪意のある ISOファイルのダウンロードに誘導するよう設計された 2 つの代替パスが存在することを確認しました。最初の経路は、受信者がメール本文にある「REVIEW THE DOCUMENT」というハイパーリンクをクリックするところから始まります。クリックすると、OneDrive にホストされている zip形式の ISOファイルをダウンロードするように誘導されます。

図1：2022年3月に配信されたURLとHTMLの添付ファイルを含むメール

　また、同じメールに HTMLファイルが添付されていたこともありました。開かれた HTMLファイルの外観は、未払い請求書へのリンクを含む Eメールに見せかけるものでした。HTML添付ファイルの埋め込みURL は、プルーフポイントが Cookie Reloaded と呼ぶリダイレクトサービスを使用していました。この URLリダイレクトサービスは、Prometheus TDS を使用して、潜在的被害者のタイムゾーンと Cookie に基づいてダウンロードをフィルタリングするものです。このリダイレクトサービスは、ユーザーを、同じく OneDrive にホストされている zip形式の ISOファイルに誘導します。

図2：Cookie ReloadedのURLリダイレクトへのリンクが含まれるHTMLの添付ファイル

　ISOファイルには、「ATTACHME.LNK」と「Attachments.dat」という名前のファイルが含まれていました。実行すると、ショートカットファイル「ATTACHME.LNK」が「Attachments.dat」を正しいパラメータで実行し、ダウンローダー「Bumblebee」が実行されます。

図3: WinRARで見たアーカイブの内容

図4: WinRARで見たISOの中身

ショートカットファイルからのプロセスツリー：

cmd.exe /c start /wait "" "C:\Users\[removed]\AppData\Local\Temp\ATTACHME.LNK"
rundll32.exe "C:\Windows\System32\rundll32.exe"
Attachments.dat,IternalJob

図5：BumblebeeにつながるTA579の攻撃チェーン

　プルーフポイントのリサーチャーは、このキャンペーンを高い信頼性でサイバー犯罪者グループTA579 に起因するものとしています。Proofpoint は 2021 年 8 月以来、TA579 を追跡しています。この攻撃グループは、過去のキャンペーンで BazaLoader と IcedID を頻繁に配信しています。

●メールスレッドが乗っ取られ、Zip圧縮された ISO の添付ファイルにより Bumblebee が投下される

　2022 年 4 月、プルーフポイントは、既存の良性メール会話への返信と思われるメールに悪意のある zip形式の ISO添付ファイルを配信するスレッドハイジャックキャンペーンを観測しました。この攻撃キャンペーンでは、すべての添付ファイル名に「doc_invoice_[number].zip」というパターンが使用されています。

図6：悪意のあるzip形式のISO添付ファイルを含む乗っ取られたスレッドのメールサンプル

　圧縮された ISO はパスワードで保護されており、「DOCUMENT.LNK」と「tar.dll」が含まれていました。パスワードはメール本文で共有されていました。ショートカットファイル「DOCUMENT.LNK」を実行すると、正しいパラメータで「tar.dll」が実行され、Bumblebeeダウンローダーが起動します。

図7：ショートカットファイルからのプロセスツリー

図8：Bumblebeeにつながるスレッドハイジャックの攻撃チェーン

●お問い合わせフォームからの"画像の盗用"を主張する問い合わせを送り、それが Bumblebee につながる

　2022 年 3 月、プルーフポイントは、ターゲットの Webサイト上のお問い合わせフォームにメッセージを送信することで生成されたメールを配信するキャンペーンを観測しました。さらに、ウェブサイトの「お問い合わせ」セクションの設定方法に応じて、送信はターゲットのサイト上にこのトピックに関するパブリックコメントも残しました。このメールは、盗用された画像がウェブサイト上に存在するという主張を装ったものでした。

図9：ランディングページへのリンクが含まれるメールサンプル

　この「苦情」には、「DOCUMENT_STOLENIMAGES.LNK」と「neqw.dll」を含む ISOファイルのダウンロードにユーザーを誘導するランディングページへのリンクが含まれていました。

図10：ランディングページの例

　ショートカットファイルを実行すると、正しいパラメータで「neqw.dll」が実行され、Bumblebeeダウンローダーが起動します。

図11：Bumblebeeにつながる「お問い合わせフォーム」攻撃チェーン

　プルーフポイントは、この攻撃キャンペーンは、プルーフポイントのリサーチャーが 2020 年 5 月から追跡している攻撃グループである TA578 によるものであるとしています。TA578 は、これまでにも Ursnif、IcedID、KPOT Stealer、Buer Loader、BazaLoader、Cobalt Strike を配信するメールベースのキャンペーンで確認されています。

●他のマルウェアとの関係

　複数の攻撃グループが Bumblebee を使用していること、Bumblebee が登場した時期、および本レポートで説明されている行動は、サイバー犯罪の脅威の状況における注目すべき変化と考えることができます。さらに、プルーフポイントは、Bumblebee を使用する行為者は、初期アクセスブローカー、つまり、主要なターゲットに侵入し、その後、後続のランサムウェア実行グループにアクセスを販売する独立したサイバー犯罪グループと考えられると、中程度の信頼性をもって評価しています。

　BazaLoaderマルウェアを通常配布している、追跡可能な少なくとも 3 つの攻撃グループが Bumblebeeペイロードに移行しており、BazaLoader が最後に Proofpoint のデータに現れたのは 2022 年 2 月のことでした。

　BazaLoader は、2020 年に初めて確認された第一段階のダウンローダーであり、Conti を含む後続のランサムウェアキャンペーンに関連しています。プルーフポイントのリサーチャーは当初、BazaLoader が、主に Trickバンキングトロジャンの配布で知られる攻撃グループによって大量に配布されていることを確認しました。

図12：BazaLoaderとBumblebeeのキャンペーンを抜粋したタイムライン

　BazaLoader がサイバー犯罪の脅威から明らかに消えたのは、2022 年 2 月末に Conti の内部業務にアクセスできるウクライナのリサーチャーがサイバー犯罪組織からデータのリークを開始した Conti Leaks のタイミングと重なります。流出したファイルの中には、BazaLoader に関連するインフラが確認されました。

　プルーフポイントは、マルウェアのアーティファクトに基づき、Bumblebee を使用して追跡しているすべての攻撃グループが同じソースから受け取っていると高い信頼性を持って評価しています。

●マルウェア分析

　Bumblebee は、C++ で書かれたダウンローダーです。分析された初期のBumblebee DLLサンプルは、2 つのエクスポートを含んでいます。1 つは、Bumblebee のメイン関数用のスレッドを直接開始します。もう 1 つは、最終的に同じメイン関数につながりますが、フックが主要なダイナミックリンクライブラリ（DLL）内に配置されているかどうかを確認するためのチェックが追加されています。この DLL をロードする LNK は、デフォルトの DllMain関数をスキップし、代わりに関数フックをチェックするエクスポートを呼び出します。

図13：Bumblebeeのフックチェックのスクリーンショット

　Bumblebeeローダーの大部分は、初期化、リクエスト送信、レスポンス処理が別々の関数に分かれている多くのマルウェアとは異なり、1 つの関数に凝縮されています。ローダーは、ボットネットの識別子として効果的に使用されるグループID をコピーすることから始まります。他の多くのマルウェアとは異なり、Bumblebee は現在、その設定を平文で保存していますが、プルーフポイントは、将来的に難読化が追加される可能性があると推測しています。グループID がコピーされると、ローダーは、ローディングプロセスの後半でインジェクションを適切に実行できるように、さまざまな NTDLL関数のアドレスを解決します。

図14：グループIDをコピーして設定

　関数が解決されると、loader のインスタンスが 1 つだけ実行されるように、ミューテックスとして機能する一意のイベントが作成されます。

図15：イベントの作成

　この時点で、Bumblebee のインスタンスが 1 つ実行されていることが確認され、マルウェアはシステム情報の収集を開始します。以下の WMIクエリを COMオブジェクト経由で実行し、通信に必要な詳細を収集します。

・SELECT * FROM Win32_ComputerSystem
・SELECT * FROM Win32_ComputerSystemProduct

　システムのホスト名と UUID が集められ、クエリーの出力に基づいて連結されます。そして、この値の MD5ハッシュが生成され、16進ダイジェストに変換されます。その結果が、ボットの一意のクライアントID となります。

図16：クライアントIDの生成

　クライアントID が生成された後、ローダーは WMIクエリのキャプション、ホストのユーザー名、ホストのドメイン（該当する場合）を含むシステムバージョン文字列を生成します。

　これらの情報をすべて収集すると、ローダーは C2 との通信を開始できるようになります。ローダーは、25 秒ごとに C2 にチェックインし、コマンドを取得します。モジュールやペイロードが即座にボットに返される多くのマルウェアとは異なり、Bumblebee が実行するジョブを受け取るまでに数時間かかることがあるため、このマルウェアの背後にいる攻撃グループは、手動でペイロードを展開するものと思われます。各サーバーレスポンスには、下図に示すデータのバリエーションが含まれています。有効なタスクが返された場合、「tasks」の値はすべてのタスク情報を含む辞書のリストとなります。

図17: Bumblebee の応答

Bumblebee loader は、以下のコマンドをサポートしています：

・Shi: シェルコードインジェクション
・Dij: DLL インジェクション
・Dex: 実行ファイルのダウンロード
・Sdl: ローダーのアンインストール
・Ins: ボット永続化の有効化

●Ins コマンド

　Insコマンドは、Bumblebee DLL を %APPDATA%フォルダのサブディレクトリにコピーし、DLL を読み込む Visual Basic Script を作成することで永続性を有効にします。スケジュールされたタスクが作成され、wscript.exe を介して Visual Basic Script が呼び出されます。

図18：DLLを読み込むVBSスクリプト

図19：VBSファイルで作成されたスケジュールタスク

●Dex コマンド

　Dexコマンドは、サポートされているコマンドの中で最も初歩的なものです。これは、サーバーの応答から base64 でデコードされたコンテンツを受け取り、ハードコードされたパスのディスクに書き込み、COMオブジェクトを介してそれを実行します。

図20：Dexコマンドの出力

●Dij コマンド

　Dijコマンドは、他のプロセスのメモリに DLL をインジェクションする機能を追加します。インジェクション先として、マルウェアは 3 つのハードコードされたオプション（ImagingDevices.exe、wab.exe、wabmig.exe）から 1 つを選び、その中に DLL をインジェクションするようになっています。

図 21：インジェクションのターゲットとなる実行ファイルの特定

　ランダムに選ばれた実行ファイルにより、ローダーはプロセスをサスペンド状態で開始します（COMオブジェクト経由でも可）。これにより、マルウェアは問題を起こすことなく、簡単にプロセスを操作することができます。次に、実行に必要なシェルコードをインジェクションできるように、デバッグ特権を有効にして、インジェクションのためのプロセスを準備します。

図 22：プロセスの新規作成とデバッグ権限の有効化

　適切なパーミッションが設定されていれば、データを操作することができ、ローダーは中断されたプロセスにシェルコードを書き込み、最初のエントリーポイントを新しいもので上書きします。この実装では、32バイトのシェルコードを書き込み、SleepEx の解決済みアドレスで placeholder を置き換えています。

図23：プレースホルダー値を置き換えるSleepEx

図24：逆アセンブルされたシェルコード

　上図のシェルコード・アセンブリの「call RAX」命令は、前の図で見たように SleepEx のアドレスに置き換えられ、シェルコードは 1000 ミリ秒の値で SleepEx を呼び出します。シェルコードがプロセスにインジェクションされると、プロセスが再開され、ローダーは APCルーチンを介して悪意のあるペイロードを実行ファイルに注入することができるようになります。

図25: APCによるプロセスインジェクション

　正しくインジェクションするために、ローダーは注入対象内に 2 つの新しいセクションを作成し、dij から新しいセクションにバッファをコピーし、動的に解決された NtQueueApcThread を介してターゲット実行可能ファイルにコピーされたコンテンツを呼び出します。

図26: 2つの新しいセクションの作成

図 27: 動的に解決された NtQueueApcThread を呼びだし

●マルウエア開発

　プルーフポイントのリサーチャーは、キャンペーンの 1ヶ月以内に、Bumblebee の開発者がマルウェアに新機能を追加していることに気づきました。具体的には、アンチVM およびアンチサンドボックスのチェックが含まれています。以下は、以前のサンプルです。

図28: 古いBumblebeeのサンプル

　そして、より最近のサンプルは以下です。

図29: check_bad_artifactsを追加して更新したBumblebeeのサンプル

　新機能を調べてみると、ちょっとした驚きがありました。

図 30: マルウェアのファームウェアチェックの逆コンパイル

図31: Al Khaserのオープンソースコードで、全く同じチェックが行われている

　上記の図は、VMアーティファクトをチェックするために使用される一般的なツールであるAl Khaser スイートの一部である。Bumblebeeローダーの開発者は、標準的な開発者と同じように、オープンソースのツールに依存しているようです。

●重要なアップデート

　プルーフポイントは、2022 年 4 月 19 日に観測された Bumblebee の最新バージョンにおいて、Bumblebee の機能に大きな変更があったことを指摘しています。カンマ区切りリストによる複数の C2 がサポートされるようになりました。

図32: 複数の組み込まれたC2

　旧バージョンではスリープ間隔が 25 秒とハードコードされていましたが、ランダムな値に変更されました。

図33: ランダムスリープ値の追加

　このマルウェアの最も大きな変更点は、ネットワーク通信に暗号化レイヤーを追加したことです。開発者は、リクエストの暗号化とレスポンスの復号化に使用されるハードコードされたキーを介して RC4 をサンプルに追加しました。

図34：リクエストの暗号化

図35：レスポンスの復号化

　4 月 22 日、プルーフポイントは、このグループが Bumblebee に新しいスレッドを追加し、マルウェア解析者が使用する一般的なツールのハードコードされたリストと現在実行中のプロセスを照合していることを確認しました。このスレッドは、Bumblebee のプロセスの開始時に作成されます。

図 36: 新しいスレッドの開始を示すBumblebeeのメイン関数

図 37: Bumblebeeがチェックするツールの一覧

　これらのプロセスのいずれかが見つかった場合、この関数は 1 を返し、Bumblebee のメインスレッドを終了させるトリガーとなります。

●結論

　Bumblebee は、現在も開発が続けられている高機能なマルウェアローダです。これは、複数のサイバー犯罪グループが使用しています。プルーフポイントは、Bumblebeeローダーが、ランサムウェアなどの後続のペイロードを配信するための初期アクセスファシリテータとして使用される可能性が高いと評価しています。Bumblebee は、脅威が出現した時期や複数のサイバー犯罪グループによって使用されていることから、BazaLoader の直接の代替品ではないにせよ、歴史的に他のマルウェアを好んで使用してきた攻撃グループによって使用される新しい多機能ツールである可能性が高いと考えられます。

●IoC (Indicators of Compromise: 侵害の痕跡)