BumbleBee マルウェア検知

[post-views]
5月 23, 2022 · 5 分で読めます
BumbleBee マルウェア検知

セキュリティ研究者は、BumbleBeeマルウェアの拡散に関連する悪意のある活動について報告し、それが初期アクセスブローカー(IAB)と名付けられた Exotic Lilyへと遡ったと報告しています。調査データによれば、攻撃者はTransferXL、TransferNow、WeTransferといったファイル転送ツールを使用してBumbleBeeマルウェアを拡散しています。このマルウェアは Cobalt Strike 攻撃を開始するために使用されます。

BumbleBeeマルウェアの検出

組織がインフラストラクチャをより適切に保護できるようにするため、我々の優れたThreat Bounty開発者の Nattatorn Chuensangarun and Osman Demirが最近、BumbleBeeマルウェアの迅速な検出を可能にする専用のSigmaルールセットをリリースしました。セキュリティチームは、これらのルールをSOC PrimeのDetection as Codeプラットフォームからダウンロードできます。

EXOTIC LILYキャンペーンでのBumbleBeeマルウェア使用の可能性(プロセス作成経由)

EXOTIC LILYキャンペーンでTransferXLのURLによるBumbleBeeマルウェアの実行の可能性(プロセスアクセス経由)

不審なBumbleBeeマルウェア(2022年5月)Rundll32でDLLを読み込むことによる防御回避(cmdline経由)

これらのルールは、MITRE ATT&CK®フレームワークv.10に準拠しており、フィッシング(T1566)、プロセス注入(T1055)、署名付きバイナリプロキシ実行(T1218)を主要な手法として、初期アクセスおよび防御回避戦術に対応しています。

検出を表示 」ボタンを押して、BumbleBeeマルウェア感染を検出するためのSigmaルールの全リストを確認してください。すべてのルールはMITRE ATT&CKフレームワークにマッピングされ、徹底的にキュレーションおよび検証されています。独自のSigmaやYARAルールを作成して世界をより安全にしたいとお考えですか?私たちのThreat Bounty Programに参加して、貴重な入力に対して定期的な報酬を得ましょう!

検出を表示 Threat Bountyに参加

BumbleBeeマルウェア分析

脅威の状況には最近、BumbleBeeとタグ付けされた新しいマルウェアが登場しました。BumbleBeeはC++で記述されたローダーで、主に初期化、レスポンス処理、リクエスト送信を行う単一の関数で構成されています。このマルウェアが侵害されたデバイスで起動されると、被害者のデータを収集し、C2サーバーに通信します。さらに、このマルウェアは追加の悪質なペイロード( Cobalt Strike、Sliver、および Meterpreter.

など)を取得して実行するために使用されます。研究者たちは 、BumbleBeeマルウェアの拡散の背後にはExotic Lilyと追跡されるIABがいると示唆しています。この脅威グループは、 Conti Group.

と呼ばれるロシア関連の攻撃者の活動に関連しています。BumbleBeeを配布する方法はさまざまですが、最新のキャンペーンでは、敵対者が正規のファイル転送サービスを誤用しているのが見られます。BumbleBeeマルウェア感染の流れは次のとおりです:マルウェアが武器化されたzipアーカイブの一部としてターゲットのデバイスに到達します。このzipファイルにはISOディスクイメージが含まれています。被害者がこのファイルを実行すると、DVDドライブとしてマウントされます。ISOファイルには、目に見えるWindowsショートカットとBumbleBee用のマルウェアDLLが含まれています。

このような新たな脅威をタイムリーに検出するために、我々のグローバルサイバーセキュリティコミュニティに参加し、協調的なサイバー防御の利点を活用してください。 SOC PrimeのDetection as Code プラットフォームでは、世界中の経験豊富な専門家から提供される正確でタイムリーな検出を活用することで、SOCチームの運用とセキュリティの状況を向上させることができます。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。