Fortinetはこのほど、「New Campaign Uses Remcos RAT to Exploit Victims|FortiGuard Labs」において、Microsoft Officeの古い脆弱性「CVE-2017-0199」を悪用してマルウェアを配布する新たなサイバー攻撃を発見したとして、注意を喚起した。
侵害経路
Fortinetによると、この新しいキャンペーンでは初期の侵害経路としてフィッシングメールが使用されたという。メールにはExcelファイルが添付されており、既知の脆弱性「CVE-2017-0199」を悪用してリモートのHTMLアプリケーション(HTA: HTML Application)を実行したとされる。
HTMLアプリケーションが実行されると難読化されたJavaScript、VBスクリプト、PowerShellなどが順次実行される。スクリプトは最終的にリモートから悪意のある実行可能ファイルをダウンロードして実行する。実行可能ファイルは高度に難読化されたPowerShellを実行し、永続性を確保してからマルウェア「Remcos RAT」の亜種をメモリーに直接展開して実行する。
Remcos RATの亜種
最終的に実行されるRemcos RATの亜種にはさまざまな機能があることが確認されている。Fortinetの分析により確認された主な機能は次のとおり。
- ファイルマネージャー
- プロセスマネージャー
- システムサービスの操作
- ウィンドウマネージャー
- レジストリー操作
- ソフトウェアのインストール、アンインストール
- バックドア
- コマンドやスクリプトの実行
- スクリーンキャプチャーやキーロガーなど、さまざまな情報の窃取
- 電源操作
- カメラ、マイクの操作
- パスワードの復元
- プロキシサーバの設置やネットワークの操作
対策
Microsoft Officeの脆弱性「CVE-2017-0199」は、2017年4月にセキュリティ更新プログラムが公開されている。影響を受ける製品の利用者には、最新の更新プログラムをインストールすることが推奨されている(参考:「CVE-2017-0199 - セキュリティ更新プログラム ガイド - Microsoft - Windows による Microsoft Office/WordPad のリモートでコードが実行される脆弱性」)。
Fortinetは、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。