Remcos RAT演算子は、難読化スクリプトと信頼されたWindowsバイナリを悪用して、ほぼ完全にメモリ内で実行され、従来の防御を回避する、ステルス性の高い、主にファイルレスな感染チェーンを配信しています。
攻撃はフィッシングメール(ZIPアーカイブを含む)から始まり、「MV MERKET COOPER SPECIFICATION.zip」という名前で、正当なビジネス仕様書に見せかけて、ユーザーに開くよう誘導しています。
アーカイブ内には、ユーザーが添付ファイルをダブルクリックするとWindows Script Hostを介して実行される、重度に難読化されたJavaScriptファイル「MV MERKET COOPER SPECIFICATION.js」が隠されています。
スクリプトの静的検査により、URLやコマンド、オブジェクト名を隠す密集した文字列マッピング関数とエンコードされた配列が明らかになり、迅速なトリアージとシグネチャベースの検出を妨害します。
Point Wildにおいて、当社の脅威研究チームは最近、悪意あるemlサンプルを分析し、Remcos キャンペーンがマルチステージ、スクリプト駆動型、ファイルレス操作へと進化している方法を示しています。
難読化を解除した後、スクリプトの目的が明確になります。WScript.Shell(コマンド実行用)、MSXML2.XMLHTTP(HTTP通信用)、Scripting.FileSystemObject(ローカルファイル操作用)などの主要なActiveXオブジェクトを作成し、hxxps://almacensantangel[.]com/ENCRYPT.ps1から次段階のPowerShellペイロードをダウンロードします。
ペイロードは実行ポリシーバイパスフラグ(例えば「-nop -ep bypass」)で起動され、強化されたPowerShell設定であってもスクリプトを簡単にはブロックできないようにします。
Remcos RAT攻撃
ダウンロードされたENCRYPT.ps1スクリプトは、コアペイロードをディスクから保持するために設計された階層化された難読化と復号化フレームワークを実装しています。
まず、メインのデータブロブが大きなBase64文字列としてコンテナ変数に保存され、基本的な検査ツールや多くの静的スキャナーから基礎となるコードを隠します。
再構築ルーチンは改行文字を削除し、[Convert]::FromBase64String を使用してペイロードとそのキー素材の両方を生バイト配列に変換し、動的に変更されるキーインデックスでペイロードをバイトごとに走査する回転XOR復号化機能に供給します。
専用の復号化関数がこのチェーンを調整し、Base64再構築を呼び出し、回転XORを適用し、復号化されたバイトをディスクに書き込まれることのないUTF-8スクリプトに変換します。
実行ハンドラーは複数の実行パスを試みます。Invoke-Expression、インライン実行、try-catchロジックを使用したScriptBlock呼び出しで、1つのメソッドが失敗した場合でも復号化されたスクリプトが実行されることを保証します。
この復号化スクリプトは2番目の実行層を導入します。これには大きなBase64ブロブが含まれており、デコードして分析するとALTERNATE.dllという、.NETリフレクションを使用してメモリに反射的にロードされたコンパイル済みの.NETアセンブリとして特定されます。
ALTERNATE.dllをメモリに直接ロードして動的にメソッドを解決することで、マルウェアはディスク上のPEファイルの作成を回避し、ファイルシステムベースの検出とフォレンジック再構築の両方を妨害します。
スクリプトは継続的に実行時の状態を評価し、aspnet_compiler.exeの存在や状態などのチェックが満たされた場合にのみ実行をトリガーし、アンチ分析セーフガードと制御されたデプロイメントをブレンドします。
LOLBinsおよびC2アクティビティ
より深い分析により、最初のバイトが「MZ」にデコードされる生バイト配列として保存されている2番目の埋め込みペイロードが露出しました。これは有効なPortable Executableであることを確認し、最終的にCqeqpvzeia.exeとして再構築されます。
オペレーターは、このバイナリを直接起動する代わりに、aspnet_compiler.exeという正当なMicrosoft.NETユーティリティをLiving-off-the-Land Binaryとして悪用して、悪意あるコードをホストまたはプロキシします。これは、同じバイナリを悪用している他の最新のRemcos Ratキャンペーンと一致するパターンです。
このアプローチにより、最終ペイロードは信頼されたプロセスを装いながら、メモリ内注入と反射的実行技術をサポートします。
ネットワークテレメトリーは、aspnet_compiler.exeがホスト側から192[.]3[.]27[.]141:8087に対してTCP接続を繰り返し確立し、継続的な送受信操作が1回限りのビーコンではなく、アクティブなC2通信を示していることを示しています。
パケットキャプチャは、このトラフィックがMPRESS圧縮実行可能ファイルおよびProgramData\Remcos\logs.datへの参照を含むWindows PEコンテンツを運んでいることを明らかにします。これはRemcos動作と一致しています。RATはキーロギングと監視データを流出前に保存するためにローカルlogs.datファイルを作成します。
スクリーンショットとプロセス監視により、アクティブなキーストロークロギングとローカルデータステージングが確認でき、被害者システムが初期妥協から完全なリモート監視(Remcos制御下)に移行したことを示唆しています。
このキャンペーンは、Remcos オペレーターがフィッシング、難読化JavaScript、エンコードされたPowerShell、メモリ内.NETローダー、およびLOLBinsを一貫性のある、主にファイルレスな侵入にチェーンし、単一実行可能ファイルに焦点を当てた従来のアンチウイルスをバイパスする方法を強調しています。
効果的な防御には、スクリプト実行、PowerShellテレメトリー、LOLBin悪用、アウトバウンドC2パターンに対する可視化が必要です。ファイルハッシュとオンアクセススキャンだけではありません。
Point Wildが提供するUltraAVは、難読化スクリプトアクティビティを検出し、エンコードされたペイロードパターンを認識し、キルチェーン全体にわたって既知の悪意あるURL、バイナリ、Remcos固有のIOCをブロックすることで、これらの弱点を標的にしています。
攻撃者がディスク成果物を最小化しても、疑わしいスクリプト、エンコードされたブロブ、LOLBin悪用、192[.]3[.]27[.]141:8087などのインフラストラクチャへの繰り返されるC2接続などの観察可能なコンポーネントに依然として依存しています。
これらの動作に対する監視と検出に焦点を当てることで、ディフェンダーはRemcos キャンペーンを早期に、理想的にはRAT がRATが被害者システムへの永続的なメモリ内制御を確立する前のフィッシングまたはローダーステージで中断することができます。
侵害の指標(IOCs)
| MD5/ファイル名 | 説明 |
| 75b7ed9f524cdb1c6f044864c4d3353c | 初期emlファイル(フィッシングメール) |
| a739d0c4821d2bc1b8a226a5d8846c28 | MV MERKET COOPER SPECIFICATION.zip |
| a5c70d896526146238a15a93dfdb2f97 | MV MERKET COOPER SPECIFICATION.js |
| https[:]//almacensantangel[.]com/ENCRYPT[.]Ps1 | 悪意あるペイロード配信URL |
| d79dbfab8af7a6f19b6abf934a90c1b7 | ENCRYPT.Ps1 |
| 957b2710fef66141707064c76f1dd1a9 | ALTERNATE.dll |
| 508c092eaf1c1a178195aadfa1b7ecae | Cqeqpvzeia.exe |
| 192[.]3[.]27[.]141[:]8087 | C2サーバ |
| 0a9728de22d85c6a2b375924bfb643dc | C2サーバから配信されたMPressパック済みペイロード |
翻訳元: https://gbhackers.com/remcos-rat-attack/
