サイバーセキュリティ研究者が、悪名高いRemcosリモートアクセストロイの木馬(RAT)を配信する高度に洗練されたマルウェアキャンペーンを発見しました。Remcosは、攻撃者に感染したシステムへのバックドアアクセスを提供し、機密情報を収集することで知られている広範な脅威です。
この新たに分析された攻撃チェーンは、脅威行為者の手口における重大なシフトを示しており、従来のディスクベースのマルウェアから、ファイルレス(メモリ内)実行へ移行しています。
ソーシャルエンジニアリングを使用したフィッシングメール、高度に難読化されたスクリプト、および信頼できるWindowsバイナリをチェーンすることで、攻撃者は従来のセキュリティ防御を回避し、システム全体の侵害を達成しています。
侵入は古典的なソーシャルエンジニアリング戦術で始まります。つまり、悪質なZIPアーカイブを含むターゲット指定のフィッシングメールです。
「MV MERKET COOPER SPECIFICATION.zip」などの正当なビジネス文書に見えるように名前が付けられた添付ファイルが、疑いを持たないユーザーをその内容を実行するよう騙します。
このアーカイブ内には、ドロッパーとして機能する高度に難読化されたJavaScriptファイルがあります。静的解析を回避するために、攻撃者はエンコードされた配列と文字列マッピング関数を使用して、実際の意図を隠蔽しています。
実行されると、JavaScriptはWindowsスクリプトホストに依存して、コマンド実行とHTTP通信用のオブジェクトを作成します。
リモートサーバーに静かに接続して悪質なPowerShellスクリプトをダウンロードし、実行ポリシーをバイパスして無制限で実行します。
その悪質な活動をさらに隠蔽するために、攻撃は生存領域の利用(LotL)戦略を活用します。スタンドアロンの実行可能ファイルを実行する代わりに、マルウェアはそのコードを信頼できるMicrosoft .NETユーティリティaspnet_compiler.exeに注入します。
生存領域のバイナリ(LOLBins)は、セキュリティチームがそれらを一般的に信頼しているため特に危険です。この正当なシステムプロセス内に隠れることで、マルウェアはプロセスベースの実行制御とアプリケーション許可リストをバイパスします。
このプロキシプロセス内で、マルウェアはセカンダリポータブル実行可能ファイル(PE)ペイロードをアンパックします。これはCqeqpvzeia.exeとして識別されます。
ネットワーク分析により、侵害されたaspnet_compiler.exeプロセスがリモートコマンドアンドコントロール(C2)サーバーと継続的に通信していることが明らかになっています。
この永続的なTCPストリームにより、攻撃者は感染したホストへコマンドを発行し、追加のパック済みバイナリを直接展開することができます。
ポスト悪用活動は監視とデータ盗難に大きく焦点を当てています。Remcos RATはユーザーアクティビティを積極的に監視し、キーストロークとシステムデータをC:\ProgramData\remcos\logs.datにある隠しファイルに記録します。
UltraAVなどのセキュリティプラットフォームは、この攻撃チェーンの初期段階、特に難読化されたスクリプトファイルをキャッチし、最終的なメモリ常駐ペイロードが実行される前に既知の悪質なネットワークインフラストラクチャをブロックすることで、特定する必要があります。
この包括的な研究は、現代のRAT展開の進化する複雑さに対抗するための行動監視の緊急の必要性を強調しています。
翻訳元: https://cyberpress.org/remcos-chain-abuses-windows/