商用ツールRecoms RATを利用した新型コロナウィルス対策を装うマルウェアについて
CoronaVirusSafetyMeasures_pdf.exeという名前、つまり「コロナウイルス安全対策」という名前のファイルを用いて、標的の端末にRemcos RATとマルウェアペイロードをダウンロードさせようとする攻撃活動が観測されています。
本攻撃の観測は、ヨーロッパのMSSP(Managed Security Service Provider)であるYoroiというベンダーのブログにて公開されました。
目次
マルウェアの動作
オンラインファイル共有ストレージの利用
発見されたマルウェアの名前はCoronaVirusSafetyMeasures_pdf.exeです。
このマルウェアは、Remcos RATのドロッパーであり実行後、dmca.gripeというオンラインファイル共有ストレージへHTTPSで通信します。
このファイル共有サイトから落とされるファイルは、「filename1.vbs」と「filename1.exe」で、C:\Users\
Remcos RATの実行
本体は、このfilename1.exeでありRemcos RATになります。
一方、filename1.vbsはfilename1.exeを実行するために利用され、filename1.vbsはRunOnceレジストリキーに記録されるため、再起動後も同ファイルが実行されるような仕組みになっています。
キーボード入力情報の窃取
そして、このRATの実行後、端末のキーボード入力情報をlogs.datに記録し、“%AppData%\Local\Temp\onedriv”に保存します。
onedrivは、onedriveに見せかけている感じですね。
そして、最終的に攻撃者が用意したC2サーバへと送信します。
一連の流れを図にしたものが以下になります。
図にある通り、Yoroiのリサーチャーは感染の契機となるのは、フィッシングメールに添付されたファイルだと推測しています。
簡易分析の結果については、INTEZER Analyzeにも上がっていたので、興味がある方はご確認ください。
商用ツールRecoms RATについて
まさに、サブタイトルの通りなのですが、今回紹介したRecoms RATは元々商用のツールで、Breaking Securityという会社が開発・販売しています。
https://breaking-security.net/remcos/
書いてあることは、「遠隔から端末が操作できるよ。」みたいなことなのですが、開発者は、全ての機能がセキュリティを守るためだと位置付けています。
以下のブログ記事のコメントによると、開発者は以下のように述べています。
- Regarding the legality question: I don’t know where you live, but here in Europe what I am developing and selling is perfectly legal.(貴方の住んでいるところの話は知らないけど、ヨーロッパにおいて私の開発および販売は完璧に合法だ!)
- Then still you forget that our focus is on legal administration and surveillance, we don’t aid cybercriminals as you state.(私たちは法的な管理下ないし監視下にあるため、サイバー犯罪の支援は行いません!)
- Actually, what you did is a criminal offence by european laws, which is called defamation towards a company.(なんなら、貴方がやっていること自体、欧州における法の下では攻撃的犯罪であり、名誉毀損だと言える!)
- If you need any other clarification, we are always available. 🙂(もしこれ以上に説明が答えられるなら、いつだって答えます!)
なんだか、子供みたいな返しな気がしてしまいますが。。。
ちなみにこの後も議論は続きますが、なんとも。。。
ちなみに、値段は以下のサイトの通り、€58.00 – €389.00の価格帯で、その使用範囲によって異なります。
日本円で言うと7,000円から47,000円程度ですね。
商用のツールというと、他にはCobaltStrikeなどが挙げられます。
同ツールは、標的型攻撃にも用いられており、先日話題になったTickグループの利用や先週ブログに記載した、Winntiなどで利用が確認されています。
Recoms RATを用いた最近の攻撃
こちらも本日のブログ記事にはなるのですが、TrustwaveのSpiderLabsブログによると、画像ファイルに含まれる暗号化されたDLLを読み込むことで最終的にRemcos RATが実行される攻撃も確認されています。
こちらは、社内にセクハラがあることを同僚に伝えるメールから始まり、 添付ファイル(Zipファイル)を開くとファイルが展開され、最終的にはRemcos RATとNetwireを落とします。
詳細が気になる方は、記事をご覧になってみてください。
まとめ
今回は新型コロナウィルス関連のマルウェアという切り口から商用ツールの攻撃利用について少し書いてみました。
個人的にはこういったツールの正規利用っていうのがどうも腑に落ちないですが、逆に不正であるという根拠になる基準を決めるのも極めて難しいんだと思っています。
ただ、セキュリティ運用をするなかで、どう考えても使わないツールに関しては、プロセス監視の中でアラートをあげるなり、端末にプログラムの実行制御をかけるなりで防ぐ術もあるように感じます。
こういった本当の意味での"運用でカバー"の例をもっと知りたいな~なんて思う今日この頃でした。