Fileless Remcos RAT Campaign Leverages CVE-2017-0199 Flaw
2024/09/12 SecurityOnline — 新たに発見された高度なマルウェア攻撃では、複雑なファイルレスのアプローチが用いられ、無害に見える Excel ドキュメントが攻撃ベクターとなり、Remcos RAT が配信されている。Trellix の研究者たちが分析した攻撃では、従来から痕跡とされてきた悪意のファイルを残すことなく、サイバー犯罪者が検出を回避してシステムへと侵入する戦術を、改良し続けていることが判明した。
この攻撃のコアとなるのは、Microsoft Office/WordPad の深刻な脆弱性である CVE-2017-0199 である。この脆弱性の悪用により、ユーザーが特別に細工されたドキュメントを開くと、攻撃者による任意のコード実行が達成されてしまうで。この脆弱性は、OLE オブジェクトを介して悪用されるという。この方法を用いる攻撃者は、無害に見えるドキュメントに悪意のコードを埋め込むことが可能となる。このケースにおいて、悪用されるドキュメントは暗号化された Excel ファイルであり、ペイロードが巧妙に偽装されているという。
この悪意の Excel ファイルを開くと、悪意の HTA (HTML アプリケーション) ファイルのダウンロードと実行がトリガーされ、一連の PowerShell コマンドが動き始め、最終的にはファイルレス Remcos RAT が、被害者のシステムに挿入される。
この攻撃は、武器化された Excel ドキュメントを取り込んだフィッシング・メールから始まり、ユーザーを騙して操作させるステップへとつなげていく。このファイルは脆弱性 CVE-2017-0199 を悪用するものであり、悪意のある URL に接続する OLE エンベッド・オブジェクトを起動して、HTA ファイルのダウンロードをトリガーするし。
続いて、この HTA ファイルにより、一連の PowerShell コマンドが開始されていく。それらのコマンドは難読化されているため、セキュリティ・ツールによる検出は困難となっている。一連の攻撃は、正当なユーティリティを装う VBScript の実行により進行していくが、詳しく調べてみると、次の攻撃ステップを密かに実行するように設計された、難読化されたデータが取り込まれているという。
最終的なペイロードである Remcos RAT は、ファイルレス方式で配信される。つまり、PowerShell コマンドは RAT をディスクに書き込まずに、メモリ上にダイレクトにダウンロードするため、検出の可能性が大幅に低減してしまう。その後に、この RAT は、正当な Windows プロセスである RegAsm に挿入され、システム上での永続化を達成する。
Remcos RAT は、従来のエンドポイント・セキュリティ・ソリューションを回避しながら、侵害したシステムでの制御を維持する。その結果として、データの窃取/キーストロークの記録などの、悪意のアクティビティを実行する、強力なリモート・アクセス・ツールとなってしまう。
Trellix の研究者たちによると、このキャンペーンの主要な標的は、政府/製造/テクノロジー/銀行などの産業であり、地理的には、ベルギー/日本/米国/韓国/カナダ/ドイツ/オーストラリアなどの国々で、攻撃が観測されているという。
この脆弱性 CVE-2017-0199 について、お隣のキュレーション・チームに聞いてみたところ、2017年4月の「Microsoft OLE2Link オブジェクトに含まれる遠隔データへのリンクに対する不適切な処理」として、レポートしているとのことでした。その時点の CVSS 値は 6.3 でしたが、翌月の5月には Office への影響が判明し、CVSS 値も 7.8 へと引き上げられたようです。そして、この脆弱性を悪用する Remcos RAT が、巧妙なファイルレス・マルウェア攻撃を仕掛け、その標的として日本の組織も含まれるとのことです。ご注意ください。よろしければ、Remcos RAT で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.