Remcosは、これまで何度も悪用されてきているリモートアクセストロイです。
またこのRemcosを悪用した脅威キャンペーンが展開されていることが確認されています。
今回の脅威キャンペーンの展開の様子はこうなっています。
- メールが開始点
この脅威キャンペーンの開始点はフィッシングメールです。
メールには攻撃ツールの展開の開始点となるExcelファイルが添付されています。 - ExcelのOLEオブジェクト
メールの本文で、巧みな表現で添付のExcelファイルを開かせようとします。
メールに添付されているExcelファイルを開くと、活動が開始されます。
OLEはObject Linking and Embeddingです。
PowerPointのなかにExcelで作った表がある、みたいなデータ連携の形式です。
このOLEデータを含む文書を開かせます。 - CVE-2017-0199
Excel文書を開くと、CVE-2017-0199の脆弱性が悪用されます。
CVE-2017-0199はリモートコード実行の脆弱性です。
HTAファイルをダウンロードし、実行します。 - 連続実行による検出回避
悪意あるコードの実行に至るまでに、さまざまなスクリプト言語を使ったコードが連続的に実行されます。
EXEファイル (dllhost.exe) をダウンロードし、32ビットPowerShellプロセスを起動して、抽出されたファイルから悪意のあるコードを読み込み、PowerShellプロセスで実行します。
でも、まだこの段階では悪意あるコードの展開までは到達していません。 - Vaccinerende.exe
攻撃チェーンで、Vaccinerende.exeが起動されます。
Vaccinerendeはワクチン接種です。こういう名前にするのですね。
起動されたプロセスをホロウイングし、そこにマルウェアを設置します。
設置するものはRemcosです。
Remcosはファイルとしては保持せず、動的にメモリに展開して使用されます。
Remcosのファイルレスアタックです。
これまでも他の脅威キャンペーンで同様の取り組みが見られたこともありました。
今回もファイルレスです。
永続化機構も展開されます。 - 情報収集開始
ここまでくると脅威アクターはRemcosを使って情報収集を開始します。
実に多くの機能が利用可能な状態になります。
ファイル操作、プロセス操作、サービス操作、WindowsのアプリケーションのWindow操作、レジストリの操作、シェルアクセス、リモートからのコマンド実行、スクリプトの実行、クリップボードの操作、電源状態の操作、カメラやマイクの操作、画面保存、DNSのリダイレクト、ウェブページを勝手に開かせる、などなどです。
ほぼ何でもできるといえそうです。
脆弱性パッチの適用が十分でないパソコンで、メール添付の悪意あるExcel文書を開くと、攻撃開始となってしまうということです。
生成AIの負の側面でフィッシングメールの精巧さは増してきています。
メールの本文の疑わしさで添付文書を開くことを回避することは簡単ではなくなってきています。
もしもの被害者とならないためには、機器を最適な状態に保つことがこれまでよりも重要になってきているということかもしれません。
New Campaign Uses Remcos RAT to Exploit Victims
https://www.fortinet.com/blog/threat-research/new-campaign-uses-remcos-rat-to-exploit-victims
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- GitHub(ギットハブ)の公開リポジトリにはどのような危険があるのか ーソフトウェアサプライチェーンリスクに関する実験ー
- 実験の目的:GitHubの公開リポジトリに潜むソフトウェアサプライチェーンリスクとは ソフトウェアサプライチェーンリスクは現在サイバー空間における大きな脅威であるのは最近のSol...
-
認知領域
- 「情報作戦ハイライト(InfoOps Highlights)」月次配信のお知らせ
- コンステラセキュリティジャパンは、アナリストによる月次配信のレポート「情報作戦ハイライト(InfoOps Highlights)」の発行をスタートします。 情報作戦ハイライト(I...