AhnLabは1月15日、「Remcos RAT Being Distributed via Webhards - ASEC BLOG」において、成人向けゲームを装ってマルウェア「Remcos RAT」が配布されていることを発見したと報じた。この攻撃では韓国で人気のオンラインファイルストレージ「WebHard」が配布に悪用されている。AhnLabは過去にもマルウェアの配布に悪用された例が複数あるとしてWebHardの利用者に注意を呼びかけている。
サイバー攻撃の概要
AhnLabによると、配布された成人向けゲームは複数種類あり、すべて「Game.exe」ファイルを実行するよう指示するガイドが含まれているという。このGame.exeは実際のゲームとは関係がなく、ダイナミックリンクライブラリ(DLL: Dynamic Link Library)を装ったゲーム本体と、悪意のあるVBSスクリプトを実行する機能を持つ。
VBSスクリプトは配布されたファイルに含まれている「www\js\plugins\ffmpeg.exe」を実行する。ffmpeg.exeは暗号化された悪意のあるコードを復号化して「explorer.exe」に注入する。注入されたコードが実行されると脅威アクタのコマンド&コントロール(C2: Command and Control)サーバからRemcos RATをダウンロードし、「ServiceModelReg.exe」に注入する。その後、ServiceModelReg.exeが実行されるとマルウェアがシステムを侵害する。
リモート管理ツール「Remcos RAT」が悪用されている
Remcos RATはドイツに拠点を置くセキュリティ企業「Breaking Security」によって開発されたリモート管理ツール。現在もツールとして販売されているが、サイバー攻撃者から遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)として悪用されている。このマルウェアには次のような機能があるとされる。
- 管理者権限の取得とユーザアカウント制御(UAC: User Account Control)の無効化
- システムの実行可能ファイルに自身を注入することで永続性の確保と検出の回避
- セキュリティ製品のバイパス
- システム情報、ユーザ情報、プロセッサ情報の収集
- キーロガー、スクリーンキャプチャ、カメラ、音声、クリップボードの窃取
- 資格情報の窃取
- バックドア機能
対策
AhnLabは、ファイル共有ソフトやWebHardを通じてこのマルウェアが配布されているとして注意を呼びかけている。ファイル共有ソフトから実行可能ファイルやスクリプトをダウンロードして実行することは避け、公式サイトからプログラムをダウンロードすることを推奨している。また、調査の過程で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。