本記事では,CYNEX Co-Nexus Aの解析活動の一環としてRemcosを解析した結果を紹介します.なお,本解析は2023年10月に実施したものとなります.
Remcosは,BreakingSecurity社が提供している商用のリモート管理ツール(Remote Access Tool)です.Remcosは,正規のツールとして販売されていますが,攻撃キャンペーンでも悪用されることが知られています.
2023年10月当時,Remcosが添付されたメールが韓国 [1] 等でも観測されていた中,同一の特徴(exeファイルのアイコンをPDF偽装する手法)を有するRemcosが添付された日本語メールが日本国内に着弾していることが確認されたことを受け,STARDUSTの日本語環境での解析を実施しました.
我々が入手し,観測・解析したRemcosの感染フローを以下の図に示します.
まず,一次検体はPDFファイルに偽装したドロッパーであり,実行すると二次検体(Remcos)を生成します.二次検体(Remcos)は,HTTPS通信でC2サーバから指示を受け,感染端末の情報を収集した後,三次検体(AgentTesla)をダウンロードして実行します.三次検体(AgentTesla)は,窃取した認証情報をメールで攻撃者に送信します.
この感染フローにおける主なファイルや通信先の情報は,以下の通りです.
また,今回は2023年10月25日(水)から11月3日(金)の期間に観測を行いました.当該期間における各検体の挙動の概要を以下の表に示します.一次検体を実行した10月25日は二次検体(Remcos)のドロップとC2サーバへの通信に留まりましたが,翌10月26日に三次検体(AgentTesla)のダウンロード・実行や窃取した情報の送付といった攻撃者の挙動を観測できました.10月27日以降は定期通信に留まったこと,11月1日以降はC2サーバが停止したことから,同週末の11月3日に観測を終了しました.
※ 我々は外部に攻撃が発生した際に検知・遮断できるように観測中に通信を監視しており,この関係で,休日である28日(土)と29日(日)は観測を行っておらず,通信成立状況を「--」としています.
以降では,一次検体,二次検体,および三次検体のそれぞれについて,その解析結果を述べます.
二次検体(Remcos)の設定ファイル
今回観測したRemcos(sbkof.exe)は難読化されていないため,設定ファイルの抽出に成功しました.ファイルパスの設定がデフォルト値のままであること等から,必ずしも攻撃者の技術レベルが高いわけではないこと,或いは特定の攻撃対象向けにカスタマイズされた検体ではないこと等が推察されます.
二次検体(Remcos)の定期通信
二次検体(Remcos)は,定期通信として,C2サーバ(80[.]76.51.172)の8087番ポートとHTTPS通信を実施します.実際に発生した通信の一部は以下の通りです.
なお,先述の通りC2サーバが稼働していたのは2023年10月25日から31日の間で,以降は接続に失敗しました.
※ 我々は外部に攻撃が発生した際に検知・遮断できるように観測中に通信を監視しており,この関係で,休日である28日(土)と29日(日)は観測を行っておらず,通信成立状況を「--」としています.
二次検体(Remcos)による地理情報の入手
二次検体(Remcos)は起動時に毎回正規サイトgeoPlugin [2] にアクセスして感染端末が所属する組織のグローバルIPアドレスから地理情報を入手していました.具体的には,同サイトのAPIにアクセスすると,下図のようなレスポンスを取得することができ,この例からは日本(..."g+eoplugin_countryCode":"JP", "geoplugin_countryName":"Japan",...)からのアクセスであると判断できます.これにより,攻撃者が感染端末の所属国を基にして攻撃の続行の可否を決めていた可能性があります.
二次検体(Remcos)の永続化
二次検体(Remcos)であるsbkof.exeは実行直後に自分自身をレジストリに登録することによって永続化を実施します.なお,設定ファイルではHKEY_LOCAL_MACHINE(HKLM)("Setup HKLM\\Run": "Enable")とHKEY_CURRENT_USER(HKCU)("Setup HKCU\\Run": "Enable")の両方への登録が設定されていますが,検体はユーザ権限で実行されたため,HKCUのみ登録に成功していました.
二次検体(Remcos)の情報窃取
二次検体(Remcos)は,最終的に情報窃取を行っていました.具体的には,以下の通り(1)キーロガーと(2)Webブラウザ内の資格情報のダンプによる2種類情報窃取を行っていました.
(1) キーロガー
二次検体(Remcos)であるsbkof.exeは,キーロガーの機能を有しており,入力されたキー情報を平文でファイルに保存します.デフォルト設定のため,ファイルパスに「remcos」が含まれていました.
キーロガーの保存先:C:\ProgramData\remcos\logs.dat
(2) Webブラウザ内の資格情報のダンプ
二次検体(Remcos)であるsbkof.exeは,約1時間ごとに自分自身を「/stext」の引数で起動してNirsoftのNirSoft WebBrowserPassView [3] を実行し,Webブラウザ内に保存された資格情報をダンプします.なお,認証情報はテキスト形式で保存されます.
実行時の引数例:C:\Users\<ユーザ名>\AppData\Local\Temp\sbkof.exe/stext "C:\Users\<ユーザ名>\AppData\Local\Temp\dveuewap"
二次検体(Remcos)による三次検体(AgentTesla)のダウンロード
二次検体(Remcos)は,観測2日目の2023年10月26日にC2サーバから三次検体(AgentTesla)ダウンロードして実行しました.以下の表の通り,19:13:25から19:35:45の約20分の間に,ハッシュ値が異なる3種類の検体がのべ6回Tempフォルダにダウンロード・実行されました.
三次検体(AgentTesla)の通信先
三次検体(AgentTesla)として,先述の通りハッシュ値が異なる3種類の検体がダウンロードされましたが,通信情報(メール設定)や窃取内容は全て同一でした.具体的な通信情報は以下の通りです.
三次検体(AgentTesla)の送付内容
三次検体(AgentTesla)は,窃取した情報をメール本文内に平文で記載して,攻撃者に送付します.実際に送付された内容は,以下の通りです.件名にユーザ名とコンピュータ名を記載した上で,本文には両者に加えてパスワード情報が平文で記載されていました.また,OS,CPU,メモリ等の情報も送信されていました.
以下の図ではマスクしていますが,今回の観測においては,STARDUST環境で用いているダミーユーザのアカウント情報が送付されていました.
我々のSTARDUSTを用いた取り組みの一環として観測したRemcosの解析結果を共有しました.今回は,二次検体での環境情報の取得が発生した上で実際に外部の攻撃者との通信が発生し,三次検体のダウンロード・実行や情報の窃取・外部送信まで観測することができました.これは,実環境を模しており解析環境との識別が困難である,また実際に外部と通信出来る環境であるSTARDUSTの利点が活きた形での観測になったものと考えております.また,三次検体は一次検体を実行してから約24時間後にダウンロード・実行されていました.このような攻撃の一部始終を観測できることは,一般的なサンドボックスよりも比較的長期間の観測が可能なSTARDUSTのユースケース・利用メリットであると考えております.
我々は,今後もSTARDUSTを用いて観測した攻撃について発信を行っていく予定です.
[1] ASEC: Distribution of Remcos RAT Disguised as Payslip, https://asec.ahnlab.com/en/58195/
[2] geoPlugin: IP Geolocation and Currency Converter APIs by Geoplugin, https://www.geoplugin.com/
今回,本文中では2023年10月に観測したRemcosの解析結果を共有しました.加えて,我々はSTARDUSTを用いたRemcosの観測をこれ以降も継続的に行っており,2024年度も6個のRemcos検体の長期観測を行っています.本件の検体と比較すると,下記の共通点と相違点がありました.
[共通点]
[2024年度だけに見られる特徴]
Posted:Takayuki SATO (Hitachi, Ltd.), Shingo YASUDA (NICT)
©2025 Cybersecurity Nexus
