Fortinetはこのほど、「New Campaign Uses Remcos RAT to Exploit Victims|FortiGuard Labs」において、Microsoft Officeの古い脆弱性「CVE-2017-0199」を悪用してマルウェアを配布する新たなサイバー攻撃を発見したとして、注意を喚起した。

  • New Campaign Uses Remcos RAT to Exploit Victims|FortiGuard Labs

    New Campaign Uses Remcos RAT to Exploit Victims|FortiGuard Labs

侵害経路

Fortinetによると、この新しいキャンペーンでは初期の侵害経路としてフィッシングメールが使用されたという。メールにはExcelファイルが添付されており、既知の脆弱性「CVE-2017-0199」を悪用してリモートのHTMLアプリケーション(HTA: HTML Application)を実行したとされる。

  • 悪意のあるExcelファイルの例 - 引用:Fortinet

    悪意のあるExcelファイルの例 引用:Fortinet

HTMLアプリケーションが実行されると難読化されたJavaScript、VBスクリプト、PowerShellなどが順次実行される。スクリプトは最終的にリモートから悪意のある実行可能ファイルをダウンロードして実行する。実行可能ファイルは高度に難読化されたPowerShellを実行し、永続性を確保してからマルウェア「Remcos RAT」の亜種をメモリーに直接展開して実行する。

  • 侵害経路 - 引用:Fortinet

    侵害経路 引用:Fortinet

Remcos RATの亜種

最終的に実行されるRemcos RATの亜種にはさまざまな機能があることが確認されている。Fortinetの分析により確認された主な機能は次のとおり。

  • ファイルマネージャー
  • プロセスマネージャー
  • システムサービスの操作
  • ウィンドウマネージャー
  • レジストリー操作
  • ソフトウェアのインストール、アンインストール
  • バックドア
  • コマンドやスクリプトの実行
  • スクリーンキャプチャーやキーロガーなど、さまざまな情報の窃取
  • 電源操作
  • カメラ、マイクの操作
  • パスワードの復元
  • プロキシサーバの設置やネットワークの操作

対策

Microsoft Officeの脆弱性「CVE-2017-0199」は、2017年4月にセキュリティ更新プログラムが公開されている。影響を受ける製品の利用者には、最新の更新プログラムをインストールすることが推奨されている(参考:「CVE-2017-0199 - セキュリティ更新プログラム ガイド - Microsoft - Windows による Microsoft Office/WordPad のリモートでコードが実行される脆弱性」)。

Fortinetは、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。