概要
最近のRemcos RATキャンペーンでは、ファイルレス、マルチステージ実行を完全に採用し、従来の防御を回避し、侵害されたWindowsシステム上でステルス性を維持する方法が示されています。この攻撃では、JavaScript、PowerShell、およびマネージド .NET インジェクターを使用して、Remcosを完全にメモリ内で実行します。これにより、法医学的な証拠やシグネチャベースの検出の機会が大幅に減少します。
攻撃の手順
攻撃は、海洋や産業のベンダーからの請求書(RFQ)の偽のメールから始まります。これらのメールには、実際にはJavaScriptファイルが含まれている偽の見積書のアーカイブが添付されています。被害者がこのスクリプトを開くと、攻撃者が制御するインフラストラクチャに対してHTTPリクエストを発行し、次のステージをダウンロードします。
ダウンロードされたコンテンツ
ダウンロードされたコンテンツは、AESで暗号化されたPowerShellスクリプトであり、ディスクに書き込まれることなくメモリ内で直接処理されます。この設計は、JavaScriptがペイロードを配信し、すべての重い作業(暗号化、ローディング、持続性)が後続のステージに委ねられるモジュラアプローチを反映しています。
ファイルレスRemcos RAT
暗号化解除後、PowerShellスクリプトは完全にファイルレスのローダーとして機能し、複数のエンコードされたフラグメントからペイロードを再構築し、AES-256 CBCと組み込まれたBase64エンコードのキーとIV値を使用してメモリ内で暗号解除します。
攻撃の詳細
- 攻撃者は、aspnet_compiler.exeという信頼できるプロセスを生成し、そのメモリをRemcosペイロードで置き換え、再開することで、プロセス名、パス、または単純な親子関係に基づく検出を難しくします。
- Remcos RATは、約481.5KBのVisual C++コンパイル済み実行ファイルとして動作し、完全にメモリ内で実行されます。
- 初期化とプロファイリングが完了すると、RemcosはC2サーバーにTCP接続を開き、ホストの詳細を含むホスト登録ビーコンを送信します。
防御策
防御者は、メモリ中心および行動に基づくテレメトリに焦点を当てるべきです。具体的には、スクリプト実行の制限、PowerShellのログ記録、コマンドラインの監視、プロセス生成の異常、および空洞化またはインジェクションされたプロセスの検出に取り組むべきです。
インジケーター・オブ・コムプロマイズ(IOC)
| タイプ | サンプル | 説明 |
|---|---|---|
| de59f9c1b237af2b27df59a6cec82fd2 | フィッシングメール – 要求書(RFQ) | |
| RAR | 47b1603f62306dfa34bd7d52b7159c7f | 価格オファー |
| JS | c2b601dc165fa0b4837019f1152d005a | JavaScriptダウンローダー |
| PS1 | 6f61c2917c7dac70b4703700b3aafb33 | PowerShellスクリプトレイヤー1 |
| PS1 | ffe4dc0ebc7b0b76d95dad2f383f6034 | PowerShellスクリプトレイヤー2 |
| DLL | e7983c9dc42001baeafedebdaba8b310 | .NETインジェクター(MAFFIA.dll) |
| EXE | df8a0d943f6df9394f0116521536a938 | Remcos RATペイロード |
| IP | 91.92.243.550 | C2サーバー |
| ドメイン | eaidali[.]ddns[.]net | 悪意のあるドメイン |
| URL | http[:]//eaidali[.]ddns[.]net:2404/ | 悪意のあるURL |