サイバーニュース.jp

世界のサイバーなニュースを配信

武器化された配送書類がRemcos RATを拡散、巧妙なマルウェアキャンペーン

カテゴリ:

巧妙な手口でRemcos RATを拡散する新たなサイバー攻撃

2026年1月21日に報じられたサイバーセキュリティニュースによると、現在、商用リモートアクセスツール(RAT)であるRemcos RATを配布する洗練されたフィッシングキャンペーンが進行中です。このキャンペーンは、ベトナムの配送会社を装ったフィッシングメールから始まり、受信者を騙して、更新された配送書類を装った添付のWord文書を開かせます。このRemcos RATは、システムリソース管理、遠隔監視、ネットワーク管理、エージェント制御など、広範な機能を提供します。

Wordファイルが開かれると、侵害されたURLからリモートRTFテンプレートが自動的にダウンロードされ、感染プロセスが開始されます。URLは複数の短縮サービス(例: hxxps://go-shorty[.]killcod3[.]com/OkkxCrq および hxxps://tnvs[.]de/e4gUVc)を介してリダイレクトされ、最終的に悪意のあるRTFファイル(w.doc)が配信されます。このキャンペーンは、悪意のあるペイロードを配送書類の中に隠蔽することで、高度な回避技術を示しており、感染のメカニズムに不慣れな組織を標的にしています。

脆弱性CVE-2017-11882の悪用

ダウンロードされたRTFファイルには、Microsoft Equation Editor(EQNEDT32.EXE)の既知のRCE(リモートコード実行)脆弱性であるCVE-2017-11882をトリガーする細工された不正な方程式データが含まれています。Wordがリモートテンプレートを処理する際、埋め込まれたシェルコードが自動的に実行され、ペイロードの配信シーケンスが開始されます。この脆弱性は、開示から数年経った今でも有効な攻撃ベクトルであり、タイムリーなパッチ適用の重要性を浮き彫りにしています。

痕跡を残さない感染経路

感染チェーンは、以下のような高度な技術を駆使しています。

  • シェルコードは、軽く難読化されたVBScriptファイルをダウンロードします。
  • このVBScriptファイルには、Base64エンコードされたPowerShellコードが含まれています。
  • PowerShellスクリプトは、正規のシステムファイル(Microsoft.Win32.TaskScheduler)を装った.NET DLLモジュールをダウンロードします。このモジュールは、画像ファイル(optimized_MSI.png)内に埋め込まれています。
  • .NETモジュールは、Windowsタスクスケジューラを介した永続化と、Remcosペイロードのメモリ内ロードという二重の目的を果たします。
  • Remcosエージェントペイロード(バージョン7.0.4 Pro)は、hxxps://idliya[.]comからダウンロードされ、新しく生成されたcolorcpl.exeプロセスにプロセスホローイングを使用してインジェクトされます。ペイロードはディスクに接触せず、完全にメモリ内に留まるため、ファイルベースの検出メカニズムを回避します。
  • 侵害されたシステムは、悪意のあるスケジュールタスクを毎分実行し、継続的な永続化を確実にします。

Remcos RATの広範な機能

このRemcos亜種は、211のコマンドIDを6つの機能カテゴリに分類して実装しています。これにより、攻撃者は広範な制御と監視能力を持つことができます。

  • システム: スクリーンキャプチャ、ファイル管理、レジストリ編集。
  • 監視: キーロギング、カメラ/マイク録音、パスワード回復。
  • ネットワーク: プロキシ設定、DNSリダイレクション。
  • 通信: リモートチャット。
  • その他: DLLロード、資格情報クリア。
  • Remcos管理: 更新、再接続。

Remcosペイロードファイルは、キャンペーン全体を通じてファイルレスですが、PowerShellプロセスのメモリからダンプすることが可能です。ダンプされたペイロードは、Microsoft Visual C++でコンパイルされた32ビットの実行ファイル(EXE)であることが確認されています。

対策と推奨事項

サイバーセキュリティベンダーであるFortinetは、悪意のあるURLのブロック、FortiMailによるアンチフィッシング検出、およびXML/Agent.EDC!tr.dldr、MSOffice/CVE_2017_11882.DMP!exploit、W32/Rescoms.B!trといったFortiGuard Antivirus署名を通じて顧客を保護しています。

組織は、この種の脅威から自らを保護するために、以下の対策を講じるべきです。

  • 厳格なメールゲートウェイ制御を実施する。
  • Microsoft Officeにおける自動テンプレートダウンロードを無効にする。
  • CVE-2017-11882のパッチ適用をタイムリーに行い、システムを常に最新の状態に保つこと。

GBHackersのGoogleニュース、LinkedIn、X(旧Twitter)をフォローし、最新情報を入手してください。

元記事: https://gbhackers.com/remcos-rat/

投稿をさらに読み込む