概要:巧妙化するRemcosキャンペーン
CyberProofの研究者たちは、2025年9月から10月にかけて、Remcos(リモートコントロール&監視ソフトウェア)キャンペーンが大幅に増加していることを確認しました。これらの攻撃は、高度なファイルレス技術を悪用して、エンドポイント検出および対応(EDR)ソリューションを回避しています。攻撃者は、高度に難読化されたPowerShellスクリプトと、MicrosoftのRMClient.exeへのプロセスホローイングを利用することで、ステルス性の高い永続性を獲得し、ブラウザの認証情報を標的にしています。
Remcosは、監視やペネトレーションテストのための合法的な商用リモートアクセスツールとして宣伝されていますが、脅威アクターはこれを悪用して違法な活動を行っています。
初期感染経路:スピアフィッシングと難読化されたPowerShell
攻撃は、「EFEMMAK TURKEY INQUIRY ORDER NR 09162025.gz」というアーカイブを含むスピアフィッシングメールから開始されました。受信者は、信用できる「問い合わせ注文」を装ったテーマに誘われ、Microsoft Edge経由でファイルをダウンロードしました。抽出後、アーカイブはユーザーのTempディレクトリにバッチファイルをドロップしました。このバッチファイルは、難読化されたPowerShellスクリプトを起動し、「Lotusblo」や「Garrots」といった関数を使用してその真の目的を隠蔽していました。
動的ペイロードの取得と実行
埋め込まれたPowerShellコードは、隠されたプロセスを生成し、独自の文字列難読化解除ツールを使用し、ダウンロードされたペイロードをInvoke-Expressionで動的に呼び出しました。TLS 1.2を強制し、カスタムのUser-Agentを使用するように構成されたこのスクリプトは、C:\Users\<username>\AppData\Roaming\Hereni.Genをターゲットとし、hxxps://icebergtbilisi.ge/Sluknin.afmから「Sluknin.afm」を4秒ごとにフェッチしようとするループに入りました。ダウンロード後、ファイルはBase64デコード、GZip解凍され、Invoke-Expressionを介して実行されました。
RMClient.exeへのプロセスホローイング
最新のインシデントでは、攻撃はスピアフィッシングメールから始まり、その後のPowerShellスニペットはmsiexec.exeを利用して次のステージを実行しました。
powershell.exe -windowstyle hidden "spsv exergonic; function Lotusblo ... Garrots (Lotusblo '…')"
このコマンドは悪意のあるパラメータを隠蔽し、msiexec.exeを実行しました。msiexec.exeは、自身のメモリをホローイングして、RemcosペイロードをRMClient.exe内にホストしました。
このファイルレスアプローチは、正規のRMClientバイナリ(SHA-256ハッシュ「8f6a3b111f6e0498cb677b175966175bfa53e58c9fb41ddb63c7b7568e24c760」がMicrosoftの正規配布と一致)を悪用して、悪意のある活動を隠蔽しました。
EDRによる検出と攻撃の目的
EDRシステムは、msiexec.exeがRMClient.exeへのプロセスホローイングを試みた際に異常な動作を部分的に検出し、RATがブラウザのパスワード保存ファイルをプローブした際にアラートをトリガーしました。CyberProofのアナリストは、注入されたRemcosインスタンスがChromiumベースのブラウザ内の保存された認証情報に積極的にアクセスしていることを特定しました。これは、日和見的な標的型攻撃を通じて認証情報を盗むことが主な動機であることを示しています。
注入後、msiexecのプロセスIDの分析により、Tempディレクトリにランダムな名前のファイルが作成され、複数のコマンド&コントロール(C2)通信が行われたことが明らかになりました。初期のC2接続はicebergtbilisi.geなどのドメインに成功しましたが、その後の試行は失敗しました。ネットワークフォレンジックにより、PowerShellローダーに埋め込まれたカスタムUser-Agent文字列を使用した悪意のあるエンドポイントへのGETリクエストが確認されました。
監視とハンティングのためのKQLクエリ
防御者を支援するため、CyberProofの研究者は関連イベントを捕捉するためのKusto Query Language(KQL)ハンティングクエリを共有しました。
union DeviceEvents, DeviceProcessEvents | where FileName contains "rmclient.exe" | where ProcessCommandLine contains "AppData\\Local\\Temp" | project Timestamp, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessParentFileName
このクエリは、一時フォルダからmsiexecによって起動されたRMClient.exeのインスタンスを分離し、潜在的なファイルレスRemcos感染を効果的に強調します。
防御策と推奨事項
CyberProofは、この進化するキャンペーンを監視し続けています。初期評価では、攻撃者が追加のペイロードをホストするために正規のウェブサイトを侵害している可能性があることが示唆されています。ファイルレスの手法は従来のシグネチャベースの検出を効果的にしないため、組織は行動監視を強化し、厳格なPowerShell実行ポリシーを適用し、リアルタイムのメモリスキャンを採用して、異常なプロセスホローイングや動的なコード実行を検出することが強く推奨されます。新しい指標が出現するにつれて、検出ルールと脅威インテリジェンスフィードの更新が公開される予定です。