AhnLab SEcurity intelligence Center (ASEC) は、韓国のユーザーを標的として Remcos RAT が拡散されていることを確認した。初期の配布ページは特定されていないが、VeraCrypt のインストーラーを装うか、違法なオンライン賭博サイト関連のプログラムと関係があると推定される。
1. マルウェアの配布
最初に配布されたマルウェアは「ブラックユーザー DB 照会 *****Club」という文言を含む画面を表示する。このプログラムは C&C サーバー、すなわち DB (データベース) に接続し、ブラックユーザーを照会する機能を提供しているように思われる。
[図 1] 配布マルウェアの GUI 画面
このタイプのマルウェアは Web ブラウザや Telegram を通じて配布されており、「*****usercon.exe」または「blackusernon.exe」といった名前が使用された。
| 名前 |
|---|
| %USERPROFILE%\downloads\programs\*****usercon.exe |
| %USERPROFILE%\downloads\telegram desktop\*****usercon.exe |
| %USERPROFILE%\downloads\programs\blackusernon.exe |
[表 1] マルウェア配布時の名前
なお、GUI 上に表示される「*****Club」やファイル名に含まれる特定のキーワードは「ブラックリストサイト」と関連している。「ブラックリストサイト」では、違法スポーツ賭博やカジノサイトなどにおいて運営者またはユーザーがブラックユーザーを照会できる機能を提供する。具体的な配布ページは不明であるが、GUI 画面や配布ファイル名から判断すると、違法賭博サイトの運営者またはユーザーを標的にブラックユーザー照会機能を餌として配布されているものと推定される。
2. ドロッパーマルウェア (DB 照会プログラム/VeraCryptインストーラー)
ログインはできないものの、表示される GUI や内部処理から、当該マルウェアは DB 照会機能を提供しているように見える。しかし、これとは別にリソース内に2つの VBS マルウェアが含まれており、実行時にそれらを %TEMP% パスにランダムな名前で生成し実行する。
[図 2] リソースに含まれた VBS マルウェア
また、VeraCrypt というユーティリティのインストーラーを装ったマルウェアも確認されている。「installer.exe」という名前で配布されたこのマルウェアは 7z SFX 形式で作成されており、内部に悪意のある VBS スクリプトが含まれている。
[図 3] VeraCrypt インストーラーを装ったマルウェア
3. VBS / PowerShell ダウンローダーおよびインジェクター
攻撃者は、Remcos RAT をインストールするまでに複数段階にわたる VBS および PowerShell ベースのマルウェアを使用している。各マルウェアは難読化され、ダミーコメントやダミーデータが追加された構成となっている。以下の例では、JPG ファイルを装っているものの、区切り文字の間に Base64 でエンコードされた PE ファイルが含まれている。
[図 4] 難読化ルーチンおよびダミーデータ内に含まれたマルウェア
| 段階 | タイプ | 名前 |
|---|---|---|
| 1 | Installer | |
| 2 | VBS ダウンローダー | %TEMP%[Random].vbs |
| 3 | VBS ドロッパー | XX12.JPG |
| 4 | VBS ダウンローダー | Config.vbs |
| 5 | VBS ダウンローダー | L1k9.JPG |
| 6 | PowerShell ダウンローダー | NMA1.JPG |
| 7 | インジェクター | XIN_PHOTO.JPG |
| 8 | Remcos RAT | Aw21.JPG |
[表 2] マルウェアの実行フロー
5段階のスクリプト型マルウェアを経て、.NET で開発されたインジェクターが実行される。このインジェクターは Discord の Webhook を利用して攻撃者にログを送信し、引数として渡された URL から Remcos RAT をダウンロードした後、復号化して「AddInProcess32.exe」プロセスにインジェクションする。なお、インジェクターマルウェアには韓国語メッセージが含まれている点が特徴である。
[図 5] インジェクターマルウェアのルーチン
4. Remcos RAT
Remcos は RAT マルウェアであり、リモートサポート用途の RAT ツールとして販売されている。しかし、リモート制御機能を悪用できることから、多くの攻撃者によって攻撃目的で利用されてきた。コマンド実行、ファイルおよびプロセス制御といったリモート制御機能に加え、キーロギング、スクリーンショット取得、Web カメラ・マイクの制御、さらに Web ブラウザに保存された認証情報の窃取など、多様な情報窃取機能を備えている。
Remcos RAT は、「SETTINGS」という名前のリソース内に設定情報を暗号化して保存しており、復号化することで攻撃者が指定した各種設定内容を確認することができる。
[図 6] Remcos RAT の設定情報
| 事例 | C&C サーバー | 名前 | Mutex、レジストリキー |
|---|---|---|---|
| A | 142.248.231[.]252:48192 (TLS) | “リモートホスト” | “証券相場表示ツール-YJ09LV” |
| B | 142.248.231[.]251:2404 (TLS) | “RemoteHost” | “Rmc-BTQ3H5” |
| C | 205.198.88[.]94:2255 (TLS) | “?? ???” | “?? ?? ???-3SDRQJ” |
[表 3] 使用された Remcos RAT 設定の一部
攻撃に使用された Remcos RAT の中には、「証券相場表示ツール」を装ったタイプも存在する。このタイプでは、実際のミューテックス名やレジストリキーにも韓国語の文字列が使用されている。また、オフラインキーロギングが有効化されているタイプも存在し、「%ALLUSERSPROFILE%\remcos\」パスにキーロギングデータが保存されることもある。
[図 7] レジストリに保存された韓国語の文字列
[図 8] 保存されたキーロギングデータ
5. 結論
最近、韓国のユーザーを標的として Remcos RAT を配布する攻撃事例が確認された。配布ファイル名から判断すると、主な標的は違法賭博サイトの運営者またはユーザーであると推定される。しかし一方で、VeraCrypt を装ったユーティリティ型マルウェアも存在することから、一般ユーザーもマルウェア配布の対象となり得る。RAT マルウェアである Remcos は、リモート制御機能に加えて、キーロギング、スクリーンショット取得、Web カメラ・マイクの制御、Web ブラウザの認証情報窃取といった高度な情報窃取機能を備えている。そのため、Remcos RAT に感染したユーザーは重要情報を窃取される恐れがある。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: Uncategorized