編集部
商業的に入手可能なリモートアクセスツール「Remcos」が改良を施され、Microsoft Windowsデバイスを標的とした新たな攻撃キャンペーンが発生している。Fortinetの研究者Xiaopeng Zhangによると、Remcosの最新版は、未更新のMicrosoft OfficeおよびWordPadのリモートコード実行(RCE)脆弱性を悪用する。
この攻撃はExcelファイルを装ったフィッシングメールで開始され、開封と同時にマルウェアがダウンロードされる仕組みである。RemcosはJavaScript、VBScript、PowerShellなどの多層構造で難読化され、解析を回避しつつ、感染後はデバッガー検出回避技術やAPIフックを活用して検出を逃れる。Zhangは、エンドポイント保護やパッチ適用、従業員への訓練が防御に重要であるとし、疑わしいメールや添付ファイルへの警戒を促している。
Remcos RATの進化と攻撃者の手法の高度化
リモートアクセスツール(RAT)の一つであるRemcosが、Microsoft Windowsデバイスを標的にするために改良を重ねている。従来から商業的に流通するRemcosは、合法的なリモート操作を目的としたツールとして知られていたが、今回の改良版は高度な難読化技術を導入し、解析や検出を回避するよう設計されている。
FortinetのXiaopeng Zhang氏の調査によれば、複数のスクリプト言語(JavaScript、VBScript、PowerShellなど)を層状に組み合わせ、攻撃コードを巧妙に隠すことで、アンチウイルスソフトやセキュリティツールの目をかいくぐる。
Remcosは攻撃時、Excelファイルをビジネス注文に見せかけたフィッシングメールを利用し、標的がそのファイルを開くとCVE-2017-0199の脆弱性を悪用してマルウェアをダウンロードする。攻撃は一度成功すると、感染端末から基本的な情報を収集し、C2サーバーへの接続を確立し、端末を遠隔操作できる状態にする。こうした攻撃手法の進化により、個人や組織が悪意あるリモートアクセスからデバイスを守るために、これまで以上に高度な防御が求められる。
難読化と検出回避技術がもたらすセキュリティへの新たな課題
今回のRemcos RATの改良版では、デバッガーの検出回避やAPIフックといった技術が導入されており、セキュリティ分析や検出を一層困難にしている。ZwSetInformationThread()というAPIを用いたデバッガー回避は、デバッガーがアタッチされた時点でプロセスが即時終了する設計である。加えて、PowerShellコードにおいても32ビットプロセスに限定し、自己復号化コードを不用意なコードに隠すなど、解析者にとって大きな障壁を築いている。
こうした高度な難読化と検出回避技術の導入により、一般的なエンドポイントセキュリティソフトウェアでは検知が難しくなっている。攻撃者が進化する手法を駆使する中、企業や個人は従来の防御策に加えて、プロアクティブなセキュリティ監視が重要となるだろう。また、最新の攻撃手法に対抗するために、リアルタイムのモニタリングや分析技術を強化することが求められている。
継続的なセキュリティ教育と技術的対策の必要性
Keeper SecurityのDarren Guccione CEOは、フィッシングやソーシャルエンジニアリングがサイバーセキュリティにおける最大の脅威の一つであると指摘する。Remcosによる攻撃も、フィッシングメールを巧妙に利用し、受信者の注意を逸らすことで実行されている。このため、技術的な防御策とともに、従業員のセキュリティ意識を高める教育が重要である。
疑わしい送信者や添付ファイルを見極める訓練は、人的エラーを防ぎ、組織の第一防衛線として機能する。また、SlashNextのフィールドCTOであるStephen Kowski氏も、Microsoft Officeを常に最新の状態に保つことや、悪意ある添付ファイルをリアルタイムで検出する高度なメールセキュリティ対策、さらにPowerShellの不審な動作を検知するエンドポイントセキュリティの重要性を強調する。技術と教育を組み合わせた対策こそが、こうした攻撃に対抗するための持続可能な戦略であるといえる。