スパムメールで拡散しているRemcos RATマルウェア

Remcos は、RAT(Remote Administration Tool)マルウェアとして数年前からスパムメールを通して絶えず拡散し続けている。Remcos は、製作者が以下のような Web サイトを通じてリモート管理を行うための RAT ツールであると説明して販売しており、最近も周期的にアップデートされている。

Remcos のホームページで説明している機能だけを見ると、リモートをサポートするための目的、または盗難時に機密データを削除したり、追跡したりする目的でも使用可能であると記載されている。もちろん、このような機能がサポートされていることは事実である。

しかし、キーロガー、スクリーンショットキャプチャ、Web カメラおよびマイク制御だけでなく、インストールされたシステムに存在する Web ブラウザの履歴およびパスワードの抽出機能のような、悪意のある用途で使用可能な機能もサポートしている。また、インジェクション行為のようなユーザーに気づかれないようにバックグラウンドで正常なプログラムに偽装し、実行を可能にするオプションも存在する。他にも、一般的な RAT 系マルウェアのように、様々な感染ボットを制御するための UI も類似している。

すなわち、Remcos の製作者は正常な機能であると宣伝し、悪意のある用途での使用は禁止すると述べている。しかし、実際にサポートされている機能は悪意のある目的でなければ使用されないような、マルウェアでサポートされる機能を多数含んでいるのである。さらに、Remcos はすでに攻撃者たちによって実際のマルウェアとしても頻繁に使用されている。

拡散方式

現在確認されている Remcos RAT は、ほとんどが以下のような形式のスパムメールによって拡散している。

1つ目のメールはファイルを直接添付する形式であって、「Amazon Detail.img」ファイルの圧縮を解凍すると exe 形式の Remcos RAT が確認できる。2つ目のメールは、不正なマクロが含まれた Excel ファイルが添付されている。この Excel ファイルを開いてマクロを有効化すると、外部から Remcos RAT をダウンロードして実行する方式である。

上記のスパムメールは英語で書かれており、韓国国内をターゲットとしているかの確認は困難だが、以下のように収集されたファイル名を見るとハングルの名前を持つファイルが存在していることから、韓国国内のユーザーもターゲットになっていることが確認できる。

\発注書(lkp-2010-024)\po.exe
\発注書(lkp-2020-027)(lkp-2020-027).exe
\要請資料リスト(lkp-2020-027).exe
見積書 – ACE international 2.exe
添付文書.exe
20co08301 – 添付文書.exe
Advanced Pacific Trading – purchase order list.exe
DHL-Shipping_Documents0010201.exe
KONTEC QUOTE B1018530.exe
Payment.exe
PDF_Tosoh-Inquiry.exe
PI20200206APO#4567811,zip.exe
PO 456123489.exe
Quotation 52908.exe
SHIPPING-DOCUMENTS-DOC0012HD83-001HDU37.exe
Ton-Keep Co- Purchase Order.exe

参考に、上記のようなファイル名は AgentTesla、Formbook、AveMaria 等のスパムメールとして出回っている他のマルウェアと類似している。また、最近収集されたタイプのほとんどが診断を回避するための目的で .NET アウトラインのパッカーによりパッキングされて拡散しているという点も同じである。

拡散ファイルのバージョン

Remcos RAT の製作者は継続的に機能をアップデートしており、現在リリースされている最新バージョンは2020年10月22日に公開されたv2.7.2である。以下はバージョン別のリリース日である。

v2.5.0 – 2019.09.20
v2.5.1 – 2020.06.05
v2.6.0 – 2020.07.10
v2.7.0 – 2020.08.10
v2.7.1 – 2020.09.14
v2.7.2 – 2020.10.22

Remcos RAT は他のマルウェアと同じく、診断を回避するためにパッキングされて拡散するが、内部に存在する実際のバイナリを抽出すると、オリジナルの Remcos RAT を確認できる。このようにして抽出されたオリジナルのバイナリではバージョン情報がハードコーディングされているため、どのバージョンのビルダーを利用して作成されたのかも確認できる。

AhnLab ASEC 分析チームは今年下半期に収集された Remcos RAT マルウェアに対してバージョン情報を抽出しており、その統計は以下の通りである。

収集された Remcos のバージョンを見ると、リリースに合わせてバージョン情報が上がっていくことがわかる。これにより、単体の攻撃者または複数の攻撃者は、Remcos RAT の公式バージョンを利用してビルドし、アップデートのたびに最新バージョンを維持する傾向があるものと推定される。

参考に、Remcos には Light バージョンも存在するが、すべてが Pro バージョンである理由は、Light バージョンでは悪意のある用途で使用可能な機能がすべて無効になっており、ユーザーに気づかれないようにバックグラウンドで実行させることも不可能なためである。

また、1.7 Pro バージョンが常に一定の割合を占めているが、これは当該バージョンの Remcos RAT に対する Crack バージョンが公開されているためである。すなわち、最新バージョンを使用する攻撃者も存在するが、過去に公開された Crack バージョンを利用する攻撃者も存在することが確認できる。1.7バージョンは2017年1月5日にリリースされた旧バージョンと言えるが、すでに様々な不正な機能を有する Pro バージョンであるため、最新バージョンまでとは行かなくとも、様々な不正な機能を実行できる。

Remcos RAT マルウェアはスパムメールによって拡散しているため、ユーザーは疑わしいメールを受信した場合、添付ファイルを開かないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前にブロックできるように注意を払わなければならない。

[ファイルの診断]
Trojan/Win32.Remcos.C4227198 (2020.11.18.05)
Malware/Win32.RL_Generic.C4222056
Trojan/Win32.Inject.R355833

[行為の診断]
Malware/MDP.Behavior.M3108

[IOC]
– Amazon Detail.img に含まれる Remcos MD5 : dd03120a4bde595c81ab1e2310807ec8
– Remcos C&C : u875414.nvpn[.]to:2404, u875414.nsupdate[.]info:2404

– 見積問い合わせスパムメールに含まれる Excel の MD5 : 303dca398f49ea51434b4be7c84b854f
– Remcos のダウンロードアドレス : hxxp://192.210.214[.]146/major.exe