新しいRemcos RAT活動の検出：フィッシングキャンペーンで新型のファイルレスマルウェア変種が拡散

サイバーセキュリティ研究者は、Microsoft Officeで知られるRCE脆弱性（CVE-2017-0199）を悪用する進行中の現場攻撃キャンペーンを特定しました。このキャンペーンでは、フィッシングメールの添付ファイルとして使用される悪意のあるExcelファイルが利用されています。このフィッシングキャンペーンは、悪名高い新しいファイルレスバージョンを配布するために設計されています。 Remcos RAT マルウェアで、標的とするシステムを完全にリモート制御することができます。

Remcos RATの検出

フィッシング は依然として主要な攻撃ベクトルであり、 2023年にはフィッシング攻撃が58.2%増加 しており、脅威アクターの高度な技術力と普及範囲の増加を強調しています。新しいファイルレス版のRemcos RATは、フィッシングメールを介して拡散され、Windowsユーザーに対し、デバイスの完全なリモート制御を提供し、機密データの盗難やさらなる攻撃の実行を可能にします。SOC Prime Platform for collective cyber defenseは、Remcos RATを利用したフィッシング攻撃に対抗するための検出アルゴリズムの全コレクションをキュレーションし、セキュリティチームがプロアクティブに防御するのを支援します。

プレス 検出を探る 関連する検出を得るため MITRE ATT&CK®にマッピングされ、カスタマイズされた CTI 脅威調査を合理化するために、コードを自動的に30以上のサポートされているSIEM、EDR、またはData Lake言語フォーマットに変換します。SOC Primeのローカルホストされたクラウドで12,000以上のデータラベルを高速にクエリするためにLight Searchを適用し、データへの完全な透明性とプライベートアクセスを確保し、超高速の検索体験を提供します。

検出を探る

Remcos RATの分析

FortinetのFortiGuard Labsは最近、 Windowsユーザーを標的とし、新しいファイルレスのRemcos RATマルウェアが拡散するフィッシングキャンペーンを発見しました。

Remcos RATは商業マルウェアであり、購入者にはコントロール下にあるコンピュータの管理を支援する様々な高度なツールが提供されます。しかし、サイバー犯罪者はRemcosを悪用して被害者から機密情報を盗み、システムを悪意のある目的で操作しています。Remcos RATは、ロシアが支援するハッキンググループ UAC-0050によってフィッシングキャンペーンにも活用されており、主にウクライナの国家機関を標的にしています。たとえば、2024年9月と10月の間に、 UAC-0050は少なくとも30回の試みを行いました。 REMCOSマルウェアを使用して会計士のコンピュータに侵入しようとしました。

フィッシングメールに添付されたMicrosoft Excelの誘引ファイルが注文関連の文書に偽装していることで、感染のプロセスは始まります。後者は、有名なMicrosoft Office RCE脆弱性（CVE-2017-0199）を悪用して、リモートサーバーから「cookienetbookinetcahce.hta」というHTAファイルを取得します。HTAファイルはWindowsのネイティブなmshta.exeユーティリティを使用して不正に実行されます。注目すべきは、HTAファイルコードは様々なスクリプト言語とエンコーディング技術を使って多層にオブフスケートされており、検出を回避し、アンチマルウェア解析を妨害する仕組みです。

バイナリはオブフスケートされたPowerShellスクリプトを実行し、検出を回避するためにアンチ分析とアンチデバッグ技術を利用します。攻撃者は、例外ハンドラ、動的に取得されたAPI、計算された定数値、APIフッキングなど、さまざまな検出回避技術を使用します。

アンチ分析防御を突破すると、マルウェアはプロセスホロウィングを使用してメモリ内で不正コードを直接実行し、「Vaccinerende.exe」と呼ばれる新しいプロセス内で実行され、新しいRemcos RATがファイルレスバージョンとなります。

Remcos RATはシステムメタデータを収集し、C2サーバーから受信したコマンドを実行します。これには、ファイルの盗難、プロセスの終了、システムサービスの管理、Windowsレジストリの変更、スクリプトの実行、クリップボードデータのキャプチャ、カメラとマイクへのアクセス、ペイロードのダウンロード、画面録画、キーボードまたはマウス入力の無効化が含まれます。悪意のあるコードは、再起動後も希にく損害のデバイスへの百科事典的制御が維持されるようにシステムレジストリを修整して新しい自動実行エントリを作成します。

新しいファイルレスバージョンのRemcos RATは、複数の検出回避技術と組み合わさり、防御者が悪意のある活動を迅速に特定するのをより一層困難にします。 SOC Primeの完全な製品スイート を活用することで、人工知能の力を利用した検出エンジニアリング、自動化された脅威ハンティング、および高度な脅威検出のための最先端のソリューションにアクセスでき、プロアクティブな防御を実現するとともに、安全な未来のための堅牢なサイバーセキュリティ体制を築くことができます。