概要:Remcos RATキャンペーンが韓国を標的に
AhnLab Security Intelligence Center (ASEC) は、韓国のユーザーを標的とした活発なRemcos RATキャンペーンを確認しました。このマルウェアは、複数の経路で拡散されており、多くの場合、VeraCryptユーティリティや違法なオンラインギャンブルエコシステム内で使用されるツールを装っています。一度インストールされると、このRATはログイン認証情報を盗み出し、ユーザーのアクティビティを監視し、攻撃者が侵害されたシステムをリモートで制御できるようになります。
感染経路1:偽のDBルックアップツール
最初の感染シナリオでは、マルウェアは「Blocklist User DB Lookup *****Club」プログラムとして偽装されています。違法なギャンブル業界では、「ブロックリストユーザー」は通常、疑わしいまたは望ましくない活動のために制限またはフラグが付けられたアカウントを指します。このプログラムのGUIは、リモートデータベース(コマンド&コントロール (C2) サーバーとして機能)にクエリを実行し、これらの制限されたアカウントを確認するように見せかけます。
マルウェアは、以下のファイル名でウェブブラウザやTelegramを通じて配布されています:
%USERPROFILE%\downloads\programs*****usercon.exe%USERPROFILE%\downloads\telegram desktop*****usercon.exe%USERPROFILE%\downloads\programs\blackusernon.exe
これらのファイル名と「*****Club」といったGUI文字列は、マルウェアが違法なスポーツ賭博やカジノサイトの運営者またはユーザー向けの「ブラックリストユーザー検索」ツールとして拡散されていることを強く示唆しています。初期配布に使用された正確なウェブサイトはまだ不明ですが、ギャンブルツールとのテーマ的な一致は、この地下エコシステムへの集中的なターゲティングを示しています。
感染経路2:偽装されたVeraCryptインストーラー
偽のルックアッププログラムのログイン機能は機能しておらず、主におとりとして機能します。内部的には、実行可能ファイルにはリソースセクションに埋め込まれた2つの悪意のあるVBSスクリプトが含まれています。プログラムが実行されると、これらのスクリプトは%TEMP%ディレクトリにランダムなファイル名で書き込まれ、その後実行され、バックグラウンドでサイレントに感染チェーンを開始します。
2つ目の亜種は、VeraCryptユーティリティインストーラーを装い、installer.exeとして配信されます。このサンプルは7zの自己解凍 (SFX) アーカイブとしてパックされており、同様に悪意のあるVBSスクリプトを含んでいます。VeraCryptの正当なディスク暗号化ツールとしての評判を悪用することで、攻撃者は一般ユーザーがインストーラーを信頼して実行する可能性を高め、キャンペーンの影響をギャンブル関連のターゲット以外にも拡大させています。
多段階の攻撃チェーン
攻撃チェーンは、分析と検出を回避するために、複数のスクリプト化された段階、強力な難読化、および誤解を招くファイル拡張子に依存しています。観察された段階は以下の通りです:
- ステージ1:インストーラー (偽のDBツール / VeraCrypt)
- ステージ2:VBSダウンローダー (例:
%TEMP%[Random].vbs) - ステージ3:VBSドロッパー (例:
XX12.JPG) - ステージ4:VBSダウンローダー (例:
Config.vbs) - ステージ5:VBSダウンローダー (例:
L1k9.JPG) - ステージ6:PowerShellダウンローダー (例:
NMA1.JPG) - ステージ7:インジェクター (例:
XIN_PHOTO.JPG) - ステージ8:Remcos RATペイロード (例:
Aw21.JPG)
脅威アクターは、Base64エンコードされたPEペイロードを、JPG画像を装ったファイル内に埋め込み、区切り文字列の間にペイロードを配置し、ダミーコメントとジャンクデータで囲んでいます。5つのスクリプト化された段階を経た後、チェーンは最終的に.NETベースのインジェクターをドロップして実行します。このインジェクターは、Discord Webhooksを介して攻撃者に実行ログを送信し、その後、引数として提供されたURLからRemcos RATペイロードをダウンロードします。ペイロードを復号化し、正当なAddInProcess32.exeプロセスにインジェクトします。注目すべきは、このインジェクターに韓国語のメッセージと文字列が含まれていることで、これは他の既知のRemcosワークフローでは珍しく、韓国の被害者向けにローカライズされていることを示唆しています。
Remcos RATの機能
Remcos RATは市販されているリモート管理ツールであり、悪意のある目的で頻繁に悪用されています。一度インストールされると、攻撃者に広範な制御およびデータ窃取機能を提供します。これには以下が含まれます:
- リモートコマンド実行、ファイル管理、プロセス制御
- キーロギングとクリップボード監視
- ウェブカメラとマイクを介したスクリーンショットキャプチャと監視
- ウェブブラウザやその他のアプリケーションからの保存された認証情報の窃取
一部の亜種は「株価ティッカー」を装い、ミューテックス名やレジストリキーに韓国語の文字列を使用しています。オフラインキーロギングが有効になっているバージョンでは、キャプチャされたキーストロークは%ALLUSERSPROFILE%\remcos\にローカルに保存され、被害者のログインID、パスワード、その他の機密テキスト入力がさらに露出する可能性があります。
結論と推奨事項
今回のキャンペーンは、Remcos RATのオペレーターが韓国のユーザーを積極的に標的にしていること、特に違法なオンラインギャンブルに関与する個人に焦点を当てていることを示しています。同時に、偽のVeraCryptインストーラーの使用は、一般ユーザーも信頼できないソースからツールをダウンロードした場合に影響を受ける可能性があることを示しています。
Remcosはリモート制御、認証情報の窃取、キーロギング、完全なユーザー監視をサポートしているため、感染は深刻なプライバシー侵害、アカウント乗っ取り、潜在的な金銭的損失につながる可能性があります。ユーザーおよび組織は、不明または非公式のソースからのソフトウェアダウンロードを避け、チェックサムや信頼できるポータルを通じてインストーラーを確認し、スクリプトベースのダウンローダー、難読化されたVBS/PowerShell、およびRATの動作を検出できる最新のセキュリティソリューションを維持する必要があります。感染が疑われるシステムは、隔離し、徹底的にスキャンし、修復後すぐにすべての認証情報を変更する必要があります。