ASEC 分析チームは、不正な Excel マクロファイルによって Remcos RAT マルウェアが配布されていることを確認した。Remcos RAT マルウェアについては、本文下段に掲載した記事のリンクで詳しく紹介している。スパムメールを通じて流入する方式は同じだが、複数段階のローダーを経て最終的に Remcos RAT マルウェアがファイルレス形式で動作する点が注目すべき部分だと言える。
全体的な動作方式を要約すると、以下の図の通りである。

攻撃者は電子メールの添付ファイルを通して不正なマクロが含まれた Excel ファイルを配布するが、マクロが実行されると PowerShell を利用して JS ファイルと追加のデータをダウンロードする。以降、Remcos RAT マルウェアは Windows の正常なプロセスである MSBuild.exe にインジェクションする方式により実行される。

スパムメールの本文は、本メールは自動送信されたメールのため返信してはいけないという内容と、添付ファイルを確認してほしいという内容である。Remcos RAT マルウェアを直接添付ファイルとして配布するケースもあるが、この場合はメールの添付ファイルを利用している。



Excel の添付ファイルを開いてみると、他の不正な Excel マクロファイルと大きく異なるところはない。ただし、図5のマクロコードを確認すると A5、A6、A7 セルの値を利用したため、攻撃者が意図的に A 列を非表示にしていることがわかる。(図3)
VBA マクロコードを見ると、まず A5、6、7セルのデータに対して Hyperlinks 関数を使用し、その後システムコマンドを実行するために Shell.Application (A7 セル)オブジェクトの ShellExecute メソッドを使用して “P” + owershell (A6 セルの文字列を反転させたデータ)で A5 セルのデータを実行することがわかる。

VBA コードで最終的に Powershell を使用して実行する A5 セルのデータをデコードすると、上記の図の通りとなる。実行ウィンドウを非表示属性にして hxxp://192.227.158[.]111/fud.js から js ファイルをダウンロードし、%APPDATA% パスに fud.js というファイル名で保存し実行する。


fud.js ファイルは大きく二つの部分に分かれるが、コード内容のうち注目すべき点をいくつか挙げると、以下の通りとなる。
1) 持続性の維持 ( cmd.exe )
● %APPDATA%Roaming パスのサブディレクトリに js ファイルをコピーおよび RUN レジストリに登録。
● reg_key : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\lol
● reg_value : C:\Users\[ユーザー名]\AppData\Roaming\fud.js
2) バイナリのロード ( powershell.exe )
● AMSI(Anti-Malware Scan Interface) Bypass
[Ref].Assembly.GetType(‘System.Management.Automation.AmsiUtils’).GetField(‘amsiInitFailed’,’NonPublic,Static’).SetValue($null,$true)
● Test-Connection cmdlet
google.com に接続テストを実行し、PC がネットワーク接続可能な状態か検証。
● 追加の不正なデータのダウンロード
外部 URL(hxxp://vendorcreditglobal[.]online/file/dino.jpg)の文字列をダウンロード。



[図10] の小さな青枠で表示した PE シグネチャである 4D5A(MZ) によって、今後 PE ファイルがロードされることを予測できる。この PE ファイルは Powershell コードの内部で確認される最初のオブジェクトだが、.NET アウトラインでパックされた dll ファイルである。二番目のオブジェクトは gzip 形式のファイルだが、この gzip 内部に Remcos RAT マルウェアが存在する。
[図11] の最終部分で確認できる「[YESS]::f77df00sd」関数は、正常なプロセスである MSBuild.exe にインジェクションして最初のオブジェクトである .NET バイナリをロードした後、二番目のオブジェクトである Remcos RAT マルウェアを実行できるようにする。
参考に、今回使用された Remcos は6月18日にリリースされた最新バージョンであるものと確認されている。


上記のパケットキャプチャからわかるように、Remcos C2 サーバーに接続を試みる時 RST パケットが受信されているが、これはキーロガーで動作して確保したデータを C2 に流出させ、追加の Remcos RAT マルウェアの機能を実行するものと予測される。
ユーザーは、出どころが不明なメールの添付ファイルを開かないようにしなければならず、もし添付ファイルをダウンロードしてしまった場合は、マクロの実行(有効化)を避けなければならない。ドキュメントプログラムのセキュリティ設定が低い場合はセキュリティの警告がなく直接マクロが実行されるため、ユーザーはセキュリティ設定を高レベルに保ち、意図しない機能が実行されないような注意が必要である。
また、使用しているアンチウイルスソフトのエンジンパターンのバージョンを最新版にアップデートして使用することを推奨する。
AhnLab V3 プロダクトラインでは、本文で紹介したタイプの不正なファイルに対して以下のように検知している。
[ファイル検知]
Downloader/XLS.Agent
Trojan/Script.Obfuscated
Trojan/PowerShell.Remcos
Infostealer/Win.Agent.C4406797
Trojan/Win.RemcosRAT.R418128
[IOC]
d2a77c2544cc8621d1aa94712f04b8f2
c140a58ffaf225f718f458f7f3d5fb0c
60a903c61969620e47d53a73834ab687
5f26df061368bc395b87d693afb35990
0006e15486d33e1e6e6a8731e5880612
192.227.158[.]111/fud.js
vendorcreditglobal[.]online/file/dino.jpg
twistednerd.dvrlists[.]com (Remcos RAT C2)
Categories:マルウェアの情報