包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. < https://www.checkpoint.com/ > 、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、過去2カ月にわたり、コロンビアの幅広い業界にまたがる40社以上の有名企業を標的とした大規模なフィッシングキャンペーンを観測しました。攻撃者は悪名高いマルウェア「Remcos」を使用しており、このマルウェアは2023年8月時点で最も活発だったマルウェアランキングの国内第二位として確認されています < https://prtimes.jp/main/html/rd/p/000000235.000021207.html > 。
国内でも攻撃を確認 – 正式なツールを謳うマルウェア「Remcos」
Remcosは多機能なリモートアクセス型トロイの木馬マルウェア(RAT)で、攻撃者に完全なコントロール権を与え、侵害されたコンピューターをさまざまな悪意ある目的のために悪用することを可能にします。Remcosマルウェアは、ドイツのBreaking Security社によって、「Remote Control and Surveillance(リモートコントロールと監視)という名前で販売されているツールで、RATとして感染したコンピューターを攻撃者が遠隔操作できるように設計されており、侵害されたシステム上で実行されると、攻撃者はコマンドを送信し、それに応じて感染したコンピューターから送信されたデータを受け取ることができます。
Remcosに感染すると、多くの場合結果としてデータの窃取、二次的なマルウェアの侵入、ユーザーアカウントの乗っ取りなどが起こります。今回のレポートでは、Remcosによる攻撃の複雑なメカニズムを掘り下げ、悪意ある攻撃者が採用した狡猾な戦術にスポットライトを当てています。
攻撃フロー
-
詐欺メール:まず攻撃者は、銀行やコロンビア内の企業など信頼できる情報源からのもののように見せかけた偽のメールを送ります。こうしたメールは、緊急の用件や未払いの負債、あるいは魅力的なオファーを内容として含んでいる場合があります。
-
メールの添付ファイル:これらの詐欺メールには、zipファイルやrarファイルなどの一見無害に見えるファイルが添付されています。ファイル内に重要な書類や請求書が含まれている、と記載することで、被害者の興味を誘います。
-
隠しコマンド:アーカイブファイルには、高度に難読化されたバッチファイル(BATファイル)が含まれています。実行されると、このバッチファイルは同じく高度に難読化されたPowerShellコマンドを実行します。このような多層的な難読化によって、セキュリティソリューションによる悪意あるペイロードの検知や分析が難しくなります。
-
.NETモジュールのロード:上記のコマンドの実行によって、ツールなどの2つの重要なパーツがコンピューターにロードされます。これらのモジュールは、その後の攻撃に不可欠なものです。
-
第一の.NETモジュール – 回避とアンフック:最初のツールの役割は、身を隠してコンピューターの防御機能をだますことです。侵入してきた悪いものが捕らえられないように、セキュリティをオフにしようと試みます。
-
第二の.NETモジュール – “LoadPE”とRemcosをロード:二番目の.NETモジュールは、ファイルリソースから「LoadPE」と呼ばれる別のコンポーネントを動的にロードします。LoadPEはリフレクティブローディングを担当します。これは、ポータブルな実行可能ファイル(Portable Executable file、PEファイル)、この場合はRemcosマルウェアを、ディスクに保存することなく直接メモリにロードすることを可能にする技術です。
-
LoadPEを使ったリフレクティブローディング:LoadPEコンポーネントを使って、攻撃者は最後のペイロードであるRemcosマルウェアをリソースから直接メモリにロードします。このリフレクティブローディング技術は、標準的なファイルベースの検出メカニズムを回避するために、従来のアンチウイルスやエンドポイントセキュリティソリューションを回避するためのマルウェアの能力をさらに強化します。
-
最後のペイロードRemcos – スイスアーミーナイフのようなRAT:Remcosマルウェアのメモリへのロードに成功すれば、攻撃は完了です。強力なRATであるRemcosによって、攻撃者は侵害されたシステムを完全にコントロールできるようになります。Remcosは攻撃者にとってスイスアーミーナイフのような万能の武器となり、不正アクセス、データ流出、キーロギング、遠隔監視など、幅広い悪意あるアクティビティの実行を可能にします。
CPRによる完全版のテクニカルリサーチ < https://research.checkpoint.com/2023/guarding-against-the-unseen-investigating-a-stealthy-remcos-malware-attack-on-colombian-firms/ > では、リサーチャーが攻撃の詳細について報告しており、悪意ある攻撃者がキャンペーンを効果的に実行するために利用している隠されたテクニックが強調されています。
今回の分析によって、攻撃者が採用している回避テクニックと難読化の手順について、その複雑な全容の一部を垣間見ることができます。悪意あるバッチファイルと.NETモジュールの隠された機能を解読することで、攻撃フローの複雑さを浮き彫りにすることができました。こうした技術的な複雑さを理解することは、サイバーセキュリティの防御を強化し、高度なフィッシングキャンペーンからシステムを保護するための効果的な対策を検討するためには不可欠です。
チェック・ポイントのお客様は、Remcosの脅威から、引き続き保護されています。
チェック・ポイントのHarmony Email & Collaborationは、インバウンド、アウトバウンド、社内のコミュニケーションのすべてにおいて、最先端のフィッシング攻撃がエンドユーザーに届く前にリアルタイムで検知し、ブロックします。
人工知能と機械学習を活用し、300以上のフィッシングの指標を分析し、革新的なグローバル脅威センサーのネットワークから動的に更新されるチェック・ポイントのThreatCloud AIのデータを取り込むことによって、Harmony Email & Collaborationはユーザーの受信トレイに届くフィッシング攻撃を99.2%削減します。
チェック・ポイントの脅威エミュレーション < https://www.checkpoint.com/jp/infinity-vision/zero-day-protection/ > は、攻撃の手口、ファイルの種類、およびオペレーティングシステムを包括的にカバーしており、本レポートで報告された脅威を検出し、その脅威からユーザーを保護するためのシグネチャを開発・導入しています。
本プレスリリースは、米国時間2023年9月12日に発表されたブログ < https://blog.checkpoint.com/research/check-point-research-reports-a-large-scale-phishing-attack-targeting-over-40-colombian-based-companies/#:~:text=A%20new%20phishing%20campaign%20has,malware%20on%20the%20victims’%20computers. > (英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
