レムコス・マルウェア

Remcos（Remote Control and Surveillanceの略）は、XPや新しいバージョンのWindows用の商用システム管理アプリケーションで、脅威者はこれを武器化している。Remcosは、ネットワーク・メンテナンス、システム監視、監視、侵入テストのために設計されたクローズド・ソースのアプリケーションですが、攻撃者は標的のシステムを遠隔操作するために使用しています。ベンダーのBreaking Securityは、Remcosは合法的なセキュリティ・ツールであると主張しているが、CISAによってマルウェアと認定され、2021年のトップ・マルウェアのリストに含まれている。

Remcosの悪意のある機能は、その堅牢な機能セットと、被害者のシステムの永続的かつ高特権のリモート制御を維持する能力により、ほぼ無制限です。Remcosは一般的に、認証情報を盗むため、中間者（MiTM）インターネット接続のため、および同期分散型サービス拒否（DDoS）攻撃を開始できるゾンビボットネットを編成するために使用されます。2016年に初めてリリースされ、含まれるライセンス数や機能に応じて58～389ポンド（66～439ドル）で販売されている。

Remcosは、COVID関連スパムのようなソーシャルエンジニアリングの手口を使い、標的を騙して悪意のあるMicrosoft Office文書を開かせようとする電子メールフィッシングキャンペーンを通じて配布されます。標的が添付された文書を開き、マクロを有効にすると、Remcos のステージャは、Windows レジストリをハイジャックすることで Microsoft Windows のユーザーアカウント制御を回避し、高レベルのシステム特権で Remcos のプライマリペイロードを実行します。感染したシステムへの持続的なアクセスを維持するため、Remcos は Windows レジストリに AutoStart キーを追加し、感染したシステムが再起動されるとマルウェアを実行します。

RemcosはC++とDelphiで書かれたWindowsベースのアプリケーションです。高性能なエクスプロイトのためのマルチスレッドリモートスクリプティングが可能です。コマンドシェルアクセス、サービスマネージャーインターフェース、SOCKS5リモートプロキシ、使いやすい管理者GUIなど、複数のリモートアクセスオプションを備えています。 

Remcosは、カスタムTCPベースのプロトコルを使用して暗号化接続を確立し、不安定なネットワーク上でコマンド＆コントロール（C2）接続を維持するためにキープアライブを行います。これらの効率的で堅牢なツールにより、Remcos はゾンビボットネットを維持し、侵害されたホスト上のインターネットトラフィックをプロキシするためのマルウェアとして選ばれています。

レムコスの攻撃を防ぐには、以下のようないくつかの重要な防御戦術を組み合わせる必要がある：

• ネットワークに侵入したRemcosを認識し、その実行を阻止するために、すべてのデバイスに高度なエンドポイントセキュリティ製品をインストールし、設定する。
• レムコスの第一段階の攻撃が受信トレイに到達するのを防ぐため、効果的で最新の電子メールスパムフィルターを確実に使用する。
• ソーシャル・エンジニアリングやフィッシング攻撃が成功する可能性を減少させるため、職員にユーザー意識向上トレーニングを提供する。

レムコスの攻撃を成功させないためのさらなる方法

• スパムフィルター・セキュリティ製品を使用して、第一段階のレムコス・フィッシングの添付ファイルを特定し、受信トレイに届くのを防ぐ。
• 高度なエンドポイントセキュリティ製品をインストール・設定し、Remcosのプライマリペイロードがネットワークに侵入する際、または実行される前に検知する。
• フィッシングの手口について担当者を教育するためのユーザー意識向上トレーニングを検討する。不審な電子メールや文書を取り扱うための標準業務手順書（SOP）を作成する。
• 社外から送信された電子メールをユーザーに通知するよう、電子メールクライアントを設定する。
• 出所不明のファイルがもたらすリスクの増大を認識し、そのような文書を開く前に、その文脈を十分に確認する。
• Officeアプリケーションが以下のように設定されていることを確認します。 通知なしですべてのマクロを無効にするまたは デジタル署名されたマクロ以外の設定を無効にする
• 電子メールクライアントやOfficeアプリケーションで、マルウェアのスキャンが行われていないファイルやVBAマクロを含むファイルなど、不審なコンテキストを警告する警告通知に特に注意してください。