AhnLab SEcurity intelligence Center(ASEC)では、Power Archiver で圧縮した UUE(UUEncoding)ファイルを通じて Remcos RAT マルウェアが配布される状況を確認した。
以下は Remcos RAT マルウェアのダウンローダーを配布しているフィッシングメールである。フィッシングメールは輸出入船積関連のメールや見積書に偽装して配布されるため、受信者の注意が必要である。
[図1] フィッシングメール
1. UUEncoding
攻撃者は添付ファイルを通じて UUEncoding 方式でエンコードされた VBS スクリプトファイルを配布する。UUEncoding 方式とは Unix-to-Unix Encode の略称で、Unix 系 OS におけるデータ交換のために使用され、二進数のデータを ASCII テキスト形式にエンコードする方式である。
[図2] UUEncoding された VBS スクリプト
UUE(UUEncoding)ファイルの構造は、ヘッダー(begin)、エンコードされたデータ、フッター(end)からなり、攻撃者は UUEncoding により検知の回避を試みたものと推定される。このファイルをデコードすると、[図3]のように難読化された VBS スクリプトが確認できる。
[図3] 難読化された VBS スクリプト
2. Downloader
VBS スクリプトは %Temp% パスに PowerShell スクリプトを Talehmmedes.txt というファイル名で保存し、実行する。実行された PowerShell スクリプトは hxxp://194.59.30[.]90/Isocarbostyril.u32 にアクセスし、%AppData% パスに Haartoppens.Eft をダウンロードし、さらに PowerShell スクリプトを実行する。
[図4] Base64 デコードされた Talehmmedes.txt の一部
実行される追加の PowerShell スクリプトも、解析妨害のために難読化されていることが確認できるが、主な機能は wab.exe プロセスにシェルコードをロードすることである。
[図5] デコードした PowerShell スクリプトの一部
シェルコードは持続性維持のためにレジストリを登録し、hxxp://194.59.30[.]90/mtzDpHLetMLypaaA173.bin に接続して追加データをロードする。最終的に実行されるマルウェアは、Remcos RAT である。
[図6] レジストリへの登録 1
[図7] レジストリへの登録 2
3. Remcos RAT
このマルウェアは hxxp://geoplugin[.]net/json.gp を通じてシステム情報を収集し、%Appdata% パスに mifvghs.dat のファイル名でキーロガーデータを保存してC&C サーバーに転送する。
[図8] Remcos RAT の設定
[図9] キーロガーのデータ
[C&C サーバー]
- frabyst44habvous1.duckdns[.]org:2980:0
- frabyst44habvous1.duckdns[.]org:2981:1
- frabyst44habvous2.duckdns[.]org:2980:0
ユーザーは、出どころが不明なメールの添付ファイルを開かないようにし、もし添付ファイルをダウンロードしてしまった場合は、マクロの実行(有効化)を避ける必要がある。ドキュメントプログラムのセキュリティ設定が低い場合はセキュリティの警告がなく直接マクロが実行されるため、ユーザーはセキュリティ設定を高レベルに保ち、意図しない機能が実行されないように注意する必要である。
また、使用しているアンチウイルスソフトのエンジンパターンのバージョンを最新版にアップデートして使用することを推奨する。
AhnLab V3 プロダクトラインでは、本文で紹介したタイプの不正なファイルに対して以下のように検知している。
[ファイル検知]
Downloader/VBS.Agent (2024.05.17.01)
Data/BIN.Encoded (2024.05.24.00)
[IOC]
b066e5f4a0f2809924becfffa62ddd3b (Invoice_order_new.uue)
7e6ca4b3c4d1158f5e92f55fa9742601 (Invoice_order_new.vbs)
fd14369743f0ccd3feaacca94d29a2b1 (Talehmmedes.txt)
eaec85388bfaa2cffbfeae5a497124f0 (mtzDpHLetMLypaaA173.bin)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: Uncategorized