概要
Remcos RAT(Remote Access Trojan)の攻撃者は、難読化スクリプトと信頼できるWindowsツールを使用して、従来の防御を回避する巧妙な感染チェーンを作成しています。
攻撃の手口
この攻撃は、偽装されたビジネス仕様書として見えるZIPアーカイブが添付ファイルであるフィッシングメールから始まります。ユーザーがこの添付ファイルをダブルクリックすると、Windows Script Host経由で難読化JavaScriptファイル(MV MERKET COOPER SPECIFICATION.js)が実行されます。
難読化スクリプトの解析
静的解析では、このスクリプトは文字列マッピング関数やエンコードされた配列を使用しており、URLやコマンド、オブジェクト名を隠しています。これにより、迅速な診断とシグネチャベースの検出が困難になります。
マルウェアの展開
Point Wildの脅威研究チームは、Remcosキャンペーンが多段階、スクリプト駆動型、ファイルレス操作に進化していることを示すサンプルを解析しました。難読化されたJavaScriptファイルからダウンロードされるPowerShellペイロード(ENCRYPT.ps1)は、強力なポリシー設定でも容易にはブロックされません。
ペイロードの展開
ダウンロードされたENCRYPT.ps1スクリプトは、レイヤーを重ねた難読化とデコードフレームワークを使用して、コアペイロードをディスクに保存せずに保持します。このフレームワークは、Base64エンコードやXOR暗号化などの手法を使って、マルウェアの検出を困難にします。
LOLBinsとC2活動
さらに深く解析すると、aspnet_compiler.exeという正当なMicrosoft .NETユーティリティが悪意のあるコードホストやプロキシとして使用されていることがわかります。これにより、マルウェアは信頼されたプロセスのカバーを借りて、メモリ内での注入と実行を行うことができます。
インフラストラクチャ
C2サーバー(192.3.27.141:8087)との通信は継続的に行われ、キーロギングや監視データのステージングが行われています。この活動は、初期の侵害から完全なリモート監視への移行を示しています。
防御策
効果的な防御には、スクリプト実行の可視化やPowerShellテレメトリ、LOLBinsの悪用、およびC2パターンの検出が必要です。UltraAVはこれらの弱点を標的としており、難読化されたスクリプト活動やエンコード・パッケージされたペイロードパターン、既知の悪意のあるURLやバイナリ、Remcos固有のIOCをブロックします。
インディケーターズ・オブ・コムプロイス(IOCs)
- Md5/File name: 75b7ed9f524cdb1c6f044864c4d3353c (Phishing email)
- Md5/File name: a739d0c4821d2bc1b8a226a5d8846c28 (MV MERKET COOPER SPECIFICATION.zip)
- Md5/File name: a5c70d896526146238a15a93dfdb2f97 (MV MERKET COOPER SPECIFICATION.js)
- URL: https://almacensantangel.com/ENCRYPT.ps1
- Md5/File name: d79dbfab8af7a6f19b6abf934a90c1b7 (ENCRYPT.Ps1)
- Md5/File name: 957b2710fef66141707064c76f1dd1a9 (ALTERNATE.dll)
- Md5/File name: 508c092eaf1c1a178195aadfa1b7ecae (Cqeqpvzeia.exe)
- C2 server: 192.3.27.141:8087