出典: Antony Cooper via Alamy Stock Photo
攻撃者は、広く使用されているVMwareユーティリティをトロイの木馬化し、最終的に最近復活したBumblebee初期アクセスマルウェアを配信するサプライチェーン攻撃を実行しました。
Arctic Wolfの研究者は、RVToolsという信頼されたVMware環境レポートユーティリティを悪用した攻撃を観察しました。これは、従業員が顧客の環境で悪意のあるバージョンのツールを誤ってインストールしようとしたときに発生しました。これは、Arctic WolfとZeroDay Labsの両方のブログ投稿によるものです。
ZeroDay Labsのセキュリティオペレーションチームは、5月13日にMicrosoft Defender for Endpointがバージョン.dllという疑わしいファイルに対してアラートを送信したときに攻撃を発見しました。このファイルはインストーラーと同じディレクトリ内で実行しようとしていました。ZeroDay Labsの投稿によると、ファイルを調査した結果、研究者はそれがBumblebeeマルウェアのインストーラーであることを認識しました。これは、サイバー犯罪者が企業ネットワークに侵入するために広く使用されています。
Bumblebee再び飛ぶ
Bumblebeeは通常、情報窃取ツールやバンキングトロイの木馬、侵害後のツールなどのさまざまなペイロードをドロップする初期アクセスローダーとして使用され、2022年にGoogle Threat Analysisによって初めて検出されました。2023年中頃にOperation Endgameと呼ばれるEuropolの摘発のターゲットの1つでしたが、その後復活を遂げています。
関連記事:Coinbaseが強要され、ハッカーに関する情報に2000万ドルを提供
Arctic Wolfの研究者は、フラグが立てられたファイルがRobwareによって開発されたRVToolsを取得するための正当なドメインを模倣した悪意のあるタイプスクワットドメインを通じてダウンロードされたことを発見しました。正当なドメインが.comであるのに対し、悪意のあるドメインは.orgであるとArctic Wolfの投稿によると述べています。一方、ZeroDay Labsは、公式のRVToolsウェブサイトが悪意のあるインストーラーを配信するために侵害された可能性があると報告しました。
いずれの場合も、「悪意のあるインストーラーがダウンロードされると、インストーラーは既知のコマンド&コントロールインフラストラクチャへのアウトバウンド接続を試みます」とArctic Wolfの脅威インテリジェンス研究者Andres Ramosは投稿で述べ、研究者たちはこれらの試みを傍受し、シンクホール化して、最終的なペイロードの追加分析を防ぎました。
サプライチェーンハック発見
悪意のあるファイルを発見した後、ZeroDay LabsのチームはファイルをVirusTotalにアップロードし、71のアンチウイルス(AV)エンジンのうち33がそれをBumblebeeの悪意のあるバリアントとして検出したことを明らかにしました。ファイルは通常のRVTools機能を含んでいるように見えましたが、さらなる調査により、RVToolsウェブサイトに掲載されているファイルハッシュと実際にダウンロードされたファイルとの間に不一致があることが判明しました。ダウンロードされたバージョンはかなり大きく、悪意のあるversion.dllでトロイの木馬化されていましたが、古いバージョンのRVToolsにはこのファイルが含まれておらず、公開されたハッシュと正しく一致していました。
関連記事:トルコのAPTがチャットアプリのゼロデイを利用してイラクのクルド人をスパイ
変更されたファイルの悪意のある性質の発見は懸念されていました。広く使用されているツールが正当なバージョンを装って配布されていることは、攻撃者が「ターゲット サプライチェーン 妥協」を試みていることを示しているように思われました。サイバー攻撃者は多くのシステムに感染させ、その後追加のペイロードでさらに攻撃するシステムを選び出すことができるとLeonは書いています。
ZeroDay LabsがVirusTotalに提出してから約1時間後、公開された提出の数は4から16に増加し、同じ頃にRVToolsのウェブサイトが一時的にオフラインになりました。Leonは「再びオンラインになったとき、ダウンロードは変更されていました:ファイルサイズは小さくなり、ハッシュはサイトに掲載されているクリーンバージョンと一致していました」と書いています。
RVToolsはその後、クリーンなバージョンのインストーラーをRVTools.comウェブサイトに復元しましたが、そのサイトとRobware.netは月曜日にArctic Wolfの投稿が公開されたときにダウンしており、火曜日もそのままです。Robware.netのサイトには、管理者が「迅速にサービスを復元するために取り組んでいる」とのメッセージが表示されていますが、いつ復元されるかは明記されていません。
関連記事:インド・パキスタン紛争中のハクティビストの影響は小さい
サイバー妥協を避けるためのアドバイス
Arctic WolfとZeroDay Labsは、最近RVToolsをダウンロードした組織がインストーラーの正当性を確認し、ユーザーディレクトリからのversion.dllの実行を確認することを推奨しています。
今後、Leonはまた、企業ネットワークにソフトウェアをダウンロードする際には「特に非公式のミラーからインストールする場合や、ベンダーがコード署名を欠いている場合には、常にハッシュを確認する」ことを推奨しています。
さらに、RobwareがRobware.netとRVTools.comがRVToolsソフトウェアの唯一の認可されたサポートされたウェブサイトであると主張していることを考えると、RVToolsをダウンロードしようとする人は、他のウェブサイトやソース、特に類似のドメイン名を持つものからの検索やダウンロードを避けるべきだとRamosは警告しています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/bumblebee-malware-trojanized-vmware-utility