AhnLab Security Intelligence Center(ASEC)は、韓国のユーザーを標的とする活動中のRemcos RATキャンペーンを確認しました。
マルウェアは複数の経路で拡散されています。しばしばVeraCryptユーティリティ、または違法オンライン賭博エコシステム内で使用されるツールを装います。
インストールされると、このRATはログイン認証情報を窃取し、ユーザーの活動を監視し、侵害されたシステムを攻撃者が遠隔操作できるようにします。
最初の感染シナリオでは、マルウェアは「Blocklist User DB Lookup *****Club」プログラムに偽装されています。違法賭博の界隈では、「Blocklist user」は通常、不審または望ましくない活動により制限されたりフラグ付けされたりしたアカウントを指します。
このプログラムのGUIは、これらの制限アカウントを確認するために、コマンド&コントロール(C2)サーバーとして機能するリモートデータベースへ照会しているように見せかけます。
マルウェアはWebブラウザおよびTelegramを通じて、次のようなファイル名で配布されています。
配布パス
| 配布パス |
|---|
| %USERPROFILE%\downloads\programs*****usercon.exe |
| %USERPROFILE%\downloads\telegram desktop*****usercon.exe |
| %USERPROFILE%\downloads\programs\blackusernon.exe |
これらの名称に加え、「*****Club」のようなGUI文字列は、このマルウェアが違法スポーツベッティング/カジノサイトの運営者または利用者向けの「ブロックリストユーザー照会」ツールを装って拡散されていることを強く示唆しています。
初期配布に使用された正確なWebサイトはまだ不明ですが、賭博ツールとのテーマ的な一致は、このアンダーグラウンドなエコシステムを狙い撃ちしていることを示しています。
偽の照会プログラムのログイン機能は動作せず、主にデコイとして機能します。内部的には、実行ファイルのリソースセクションに2つの悪意あるVBSスクリプトが埋め込まれています。
プログラムが実行されると、これらのスクリプトはランダム化されたファイル名で%TEMP%ディレクトリに書き出され、その後実行されて、バックグラウンドで静かに感染チェーンが開始されます。
第2の亜種はVeraCryptユーティリティのインストーラーを装い、 installer.exeとして配布されます。このサンプルは7z自己解凍(SFX)アーカイブとしてパックされており、同様に悪意あるVBSスクリプトを含んでいます。
正規のディスク暗号化ツールとしてのVeraCryptの評判を悪用することで、攻撃者は一般ユーザーがインストーラーを信用して実行する可能性を高め、賭博関連の標的にとどまらずキャンペーンの影響を拡大していると指摘されています。
攻撃チェーンは、複数のスクリプト段階、強い難読化、解析と検知を回避するための紛らわしい拡張子に依存しています。観測された段階は次のとおりです。
段階/種類/名称・例
| 段階 | 種類 | 名称/例 |
|---|---|---|
| 1 | インストーラー | (偽DBツール/VeraCrypt) |
| 2 | VBSダウンローダー | %TEMP%[Random].vbs |
| 3 | VBSドロッパー | XX12.JPG |
| 4 | VBSダウンローダー | Config.vbs |
| 5 | VBSダウンローダー | L1k9.JPG |
| 6 | PowerShellダウンローダー | NMA1.JPG |
| 7 | インジェクター | XIN_PHOTO.JPG |
| 8 | Remcos RATペイロード | Aw21.JPG |
脅威アクターは、Base64でエンコードしたPEペイロードをJPG画像を装ったファイル内に埋め込み、区切り文字列の間にペイロードを配置し、ダミーコメントや不要データで周囲を埋めています。
5つのスクリプト段階を経た後、最終的にチェーンは.NETベースのインジェクターをドロップして実行します。
このインジェクターは、Discord Webhooksを介して実行ログを攻撃者に送信し、その後、引数として渡されたURLからRemcos RATペイロードをダウンロードします。
ペイロードを復号して正規の AddInProcess32.exe プロセスにインジェクトします。注目すべき点として、このインジェクターには韓国語のメッセージや文字列が含まれており、他の既知のRemcosワークフローではあまり見られないことから、韓国の被害者向けにローカライズされている可能性が示唆されます。
Remcos RATの機能
Remcos RATは商用に販売されているリモート管理ツールで、悪意ある目的で悪用されることが頻繁にあります。インストールされると、攻撃者に広範な制御機能とデータ窃取機能を提供し、具体的には次のようなものが含まれます。
- リモートでのコマンド実行、ファイル管理、プロセス制御。
- キー入力の記録(キーロギング)とクリップボード監視。
- スクリーンショット取得、およびWebカメラとマイクを介した監視。
- Webブラウザやその他アプリケーションに保存された認証情報の窃取。
解析したサンプルは、暗号化された「SETTINGS」という名前のリソース内に設定を保存しています。復号すると、C2サーバーやその他のパラメータが明らかになります。観測された設定には次のものが含まれます。
一部の亜種は「株価ティッカー」を装い、ミューテックス名やレジストリキーに韓国語の文字列を使用しています。
オフラインキーロギングが有効なバージョンでは、取得したキー入力は %ALLUSERSPROFILE%\remcos\ 配下にローカル保存され、被害者のログインID、パスワード、その他の機密なテキスト入力がさらに露出します。
このキャンペーンは、Remcos RATのオペレーターが韓国のユーザーを積極的に標的としており、特に違法オンライン賭博に関与する個人に焦点を当てていることを示しています。
同時に、偽のVeraCryptインストーラーの使用は、信頼できないソースからツールをダウンロードした場合、一般ユーザーも影響を受け得ることを示しています。
Remcosは遠隔操作、認証情報の窃取、キーロギング、ユーザーの完全な監視をサポートするため、感染は深刻なプライバシー侵害、アカウント乗っ取り、そして金銭的損失につながる可能性があります。
ユーザーおよび組織は、不明または非公式なソースからのソフトウェアのダウンロードを避け、チェックサムや信頼できるポータルでインストーラーを検証し、スクリプトベースのダウンローダー、難読化されたVBS/PowerShell、RATの挙動を検知できる最新のセキュリティソリューションを維持すべきです。
感染が疑われるシステムは隔離し、徹底的にスキャンしたうえで、復旧後ただちにすべての認証情報を変更してください。
翻訳元: https://gbhackers.com/remcos-rat-campaign/
