TokyoBlackHatNews

gbhackers.com 5分で読了

BingのSEOポイズニングを起点にBumbleBeeとAdaptixC2がAkiraランサムウェアを展開

BumbleBeeとAdaptixC2が、BingのSEOポイズニングに始まりAkiraランサムウェアの展開で終わる、極めて効率的な侵入チェーンに悪用されています。信頼性の高い検索トラフィックが、企業への侵害経路として利用されるようになっている実態が浮き彫りになりました。

このキャンペーンが注目される理由は、個々の手法の目新しさではなく、各段階が緊密に連携している点にあります。悪意ある検索順位操作、トロイの木馬化されたインストーラーの配布、ローダーの実行、持続的なC2通信、認証情報の窃取、そして迅速なドメイン全域への暗号化が、一連の流れとして組み合わされています。

侵入の起点は、正規のIT管理ソフトウェアを検索した被害者が、トロイの木馬化されたMSIインストーラーを公開する偽のダウンロードサイトへ誘導されるところから始まります。

報告された事例では、ManageEngine OpManagerを装った囮が使われました。この製品は高い権限を持つ管理者を引き寄せやすいツールであるため、初期ペイロードは一般的なフィッシング攻撃よりもはるかに危険性が高いものとなっています。

インストーラーを実行すると、一見して正規のものと区別がつかない動作をしながら、DLLサイドローディングによってBumbleBeeローダーを密かに準備します。

BumbleBeeはその後、アウトバウンドのC2通信を確立し、後続のツール展開に必要な足がかりを築きます。観測された侵入チェーンでは、実行からおよそ5時間後にAdaptixC2が投下され、二つ目の制御チャネルが追加されることで、侵害後の体制がさらに強固になりました。

Image

DFIRの報告によると、BumbleBeeはAdaptixC2ビーコンを投下してさらなる侵入活動を展開し、脅威アクターはドメインコントローラーへ移動してNTDS.ditをダンプしたとのことです。

この組み合わせが重要なのは、単一の感染ワークステーションが、偵察・ラテラルムーブメント・権限昇格のための持続的な操作インターフェースへと変わってしまうためです。

BumbleBeeとAdaptixC2によるAkira展開

この手法が効果的なのは、ランダムなWebブラウザーユーザーではなく、エンタープライズ向けソフトウェアを積極的に検索しているユーザーを狙っているためです。

ステージングされた consent.exe が実行されると、 C:\Windows\System32 に存在する正規のDLLよりも先に、ローカルに配置された悪意ある msimg32.dll が優先的に読み込まれます。

Image

管理者やITスタッフは1つのエンドポイントから多数のシステムへ移動できる権限を持っていることが多く、彼らを侵害することで、セキュリティ境界の大部分が一気に崩壊する可能性があります。

また、SEOポイズニングは、メールベースのフィッシングに対して多くの人が持つ直感的な警戒心を回避できます。ユーザーは通常の検索結果を辿っているという意識があるためです。

Swisscomの侵害事例では、ユーザーが管理サーバーに直接 Advanced-IP-Scanner.msi をダウンロードしました。このインストーラーは悪意あるラッパーとして機能していました。

悪意あるペイロードは、ユーザーがユーザーアカウント制御(UAC)プロンプトで管理者権限を許可した直後に展開されました。

この一連の作戦は、騒々しいヒット・アンド・ラン型ではなく、規律あるオペレーションを示しています。攻撃者は暗号化を実行する前に、内部偵察、認証情報の窃取、データ流出、そして永続化処理を行ったと報告されており、これは現代のダブルエクストーション型ランサムウェアの手口と一致しています。

Image

ある記録された事例では、初期アクセスからわずか約44時間でAkiraランサムウェアによる暗号化が実行され、わずかな足がかりがいかに迅速に企業全体の障害へと発展するかを示しています。

Akiraは2026年に入っても依然として活発なランサムウェア脅威であり、エンタープライズインフラや境界デバイスへの攻撃が継続して報告されています。

同グループは正規のツールやドライバーを悪用して防御を弱体化させることでも知られており、悪意ある活動を通常のシステム動作に紛れ込ませるパターンに合致しています。

このため、シグネチャベースの検出に過度に依存していたり、検索エンジン経由のダウンロードワークフローを信頼していたりする環境では、検出がより困難になります。

防御側にとっての直接的な教訓は、ソフトウェアの取得を調達の問題としてではなく、セキュリティ管理の一環として捉えることです。検索結果の真正性確認、アプリケーション許可リスト、ブラウザのダウンロード制限、そしてDLLサイドローディングや不審なC2ビーコンを検出するエンドポイント監視が、今すぐ取り組むべき対策として挙げられます。

BumbleBeeやAdaptixC2が存在していることが判明した場合、ランサムウェア展開までの時間が非常に短い可能性があるため、チームはAkiraに関連するテレメトリーも継続して追跡すべきです。

参考となる関連情報として、Akiraの2026年の活動全般、Microsoft Defenderを無効化するための正規ドライバー悪用、そしてVPNや境界アクセス経路の強化に関するCISAのガイダンスが挙げられます。

このキャンペーンはより大きなトレンドも裏付けています。初期アクセスの手段として、メールによる囮だけでなく、検索操作や信頼されたダウンロードチャネルの悪用が増加しているのです。

翻訳元: https://gbhackers.com/bumblebee-and-adaptixc2-deliver-akira/

ソース: gbhackers.com
#AdaptixC2 #Akiraランサムウェア #Bumblebeeローダー #DLLサイドローディング #SEOポイズニング #エンドポイントセキュリティ #サプライチェーン攻撃 #ダブルエクストーション #ランサムウェア攻撃 #認証情報窃取

関連記事

重大な脆弱性がProgress Kemp LoadMasterに発覚 — 認証不要のリモートコード実行が可能に

Windows ServerでSYSTEMアクセスを可能にするNTLMリフレクションバイパス脆弱性のPoC公開

AirDropおよびQuick Shareに複数の脆弱性――攻撃者によるデバイスクラッシュが可能に