AhnLab SEcurity intelligence Center (ASEC)は最近、RemcosRAT がステガノグラフィ手法を用いて拡散していることを確認した。Template Injection 手法を使用した Word ドキュメントを起点として、数式エディター(EQNEDT32.EXE)の脆弱性を使用する RTF をダウンロードして実行する。
[図1] External LNK が含まれた Word
RTF は C2 から「.jpg」拡張子を持つ VBScript をダウンロードし、テキストを無料でアップロードする「Pastebin」と類似したサービスである「paste.ee」から追加の VBScript をダウンロードする。
[図2] RTF がダウンロードした VBScript
ダウンロードした VBScript は複数の特殊文字で難読化されており、Replace によって最終的に PowerShell Script を実行する。
[図3] 難読化された Script(eh1G4)
この PowerShell Script は外部にアップロードされた画像をダウンロードするが、当該画像は「JPG」ファイルの末尾(フッター)を意味するコード「FF D9」の後ろに BASE64 エンコードされたデータが含まれており、<<BASE64 START>>と<<BASE64_END>>文字列の間のデータを読み込んで BASE64 でデコードする。デコードされたデータは「.NET DLL」であり、6つの引数を渡して Reflection Load により実行する。
[図4] ステガノグラフィ画像をダウンロードする PowerShell Script
[図5] 正常な画像ファイルに含まれた BASE64 エンコードデータ
引数として渡された C2 から追加のファイルをダウンロードし、RegAsm.exe を子プロセスとして生成し Process Hollowing により実行する。最終的に実行されるプロセスが RemcosRAT である。
[図6] Process Hollowing によって実行される RemcosRAT
Remcos RAT はスパムメール、クラックソフトウェアのダウンロード等の様々な方面により拡散するため、ユーザーは特に注意が必要であり、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
Downloader/VBS.Agent.SC199181 (2024.04.19.00)
Data/BIN.Encoded (2024.04.18.03)
Downloader/VBS.Agent.SC198254 (2024.03.19.03)
RTF/Malform-A.Gen (2024.03.19.01)
振る舞い検知
Execution/MDP.Powershell.M2514
MD5
FDFD9E702F54E28DC2CA5F7C04BF1C8F
F5A49410D9EA23DC2CF67D7D3BA8FAD0
C7603F1DA9D5EBB35076F285EB374BA6
6605B28A03EA7CAA3A40451CBBC75034
B06FE78AAD12F615595040308AFFC0D8
C2
hxxp://ur8ly.com/asy2xr
hxxps://paste.ee/dEh1G4
107.175.31[.]187
192.210.201[.]57:52748
Reference
1) https://www.cyfirma.com/research/exploiting-document-templates-stego-campaign-deploying-remcos-rat-and-agent-tesla/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post RemcosRAT、ステガノグラフィ手法を用いて拡散中 appeared first on ASECブログ.