AhnLab Security Emergency response Center(ASEC)は、税金計算書、送り状の番号に偽装した電子メールの添付ファイル形式で Guloader マルウェアが拡散している状況を確認した。今回確認された Guloader は RAR(Roshal Archive Compressed)圧縮ファイルの内部に存在していた。ユーザーが Guloader を実行すると、最終的に Remcos、AgentTesla、Vidar などの既知のマルウェアをダウンロードする。
AhnLab MDS 製品は、電子メールで配布されるマルウェアを遮断するため、電子メールベースの脅威検知および隔離機能(MTA)を提供している。下記の[図3]は AhnLab MDS 製品の Guloader マルウェア検知レポートの画面である。当時、Guloader ダウンローダーマルウェアは攻撃者サーバーから Remcos マルウェアをダウンロードした。
Remcos は、スパムメールと MS-SQL 脆弱性で配布される既知の RAT(Remote Administration Tool)ツールである。Remcos マルウェアに関しては ASEC ブログでも紹介したことがある。
- (2020.11.23) スパムメールで拡散しているRemcos RATマルウェア
Remcos は公式販売サイトが存在し、2016年7月にバージョン1.0の最初公開を初めに、2023年7月26日に4.9.0バージョンが公開された。すなわち、制作者はこのマルウェアの機能をアップデートし続けながら、商業の目的で販売していると見える。
MDS では電子メールの流入段階で、仮想マシンベースの動的解析を行い、Guloader のマルウェアダウンロード振る舞いおよび Remcos マルウェアの情報流出振る舞いと特徴をベースにこれを検知する。
Guloader は Remcos だけでなく、Formbook、Lokibot など、インターネットで販売されているマルウェアをダウンロードして実行する。このように販売されるマルウェアを商用(Commodity)マルウェアと言うが、攻撃者が商用マルウェアを直接配布せず、Guloader のようなダウンローダーマルウェアを通じて配布する理由は、セキュリティ製品のシグネチャ検知を回避するためと見える。Guloader マルウェアは、NSIS、.NET、過去には VisualBasic タイプにコンパイルされ、静的検知を回避するため、毎回アウトラインを変更して配布されている。しかし、結果的にはメモリ上で実行されるマルウェアが Remcos のような商用マルウェアであるため、ファイルのアウトラインが違っても実行する不正な振る舞いは変形ごとに同じである。そのため、企業のセキュリティ担当者はエンドポイントセキュリティ製品(V3)だけでなく、MDS のようなサンドボックスベースの APT ソリューションを導入し、サイバー攻撃の被害を予防しなければならない。
[IoC]
[MD5]
– ab5050f0b4b71352722a6122c8107f83
[ファイル検知]
– Trojan/Win.Guloader.C5463862 (2023.08.02.00)
[ビヘイビア検知]
– Execution/MDP.Remcos.M11099
– Infostealer/MDP.Credential.M10218
サンドボックスベースの動的解析で知られていない脅威を検知および対応する AhnLab MDS の詳しい情報は、AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知