Remcos RAT setzt auf DonutLoader: Neue Angriffskette entdeckt

(source: G DATA CyberDefense AG)

(source: G DATA CyberDefense AG)

Im Gegensatz zu früheren Remcos-RAT-Kampagnen integriert diese neue Infektionskette DonutLoader-Shellcode und AutoIt-basiertes Staging, um die Payload auszuführen. Dadurch verschiebt sich die Loader-Architektur von der verwalteten .NET-Ausführung hin zu einem portableren, laufzeitunabhängigen Modell für die speicherbasierte Bereitstellung von Payloads.

Der initiale Zugriff 

Die Infektion beginnt mit einer Phishing-E-Mail, die im Anhang eine schädliche Windows-Batch-Datei „Bestellung.CMD“ enthält. Die Ausführung beginnt mit dem Start der Batch-Datei „cscript.exe“. Diese legitime Windows-Script-Host-Binärdatei wird häufig als LOLBin missbraucht. Sie ist eine von zwei Windows Script Host (WSH)-Ausführungsdateien und fungiert als Konsolenvariante von „wscript.exe“.

Anschliessend wird „SyncAppvPublishingServer.vbs“ aufgerufen, eine legitime Microsoft-App-V-Komponente, die in vielen Unternehmensumgebungen unter Windows vorhanden ist. Da sie als vertrauenswürdiger Bestandteil der normalen Systeminfrastruktur gilt, eignet sie sich besonders gut für den Missbrauch als LOLBin. Sie führt eine schädliche Base64-kodierte Payload aus, die als Argument übergeben wird. Dabei werden Fehlermeldungen und Windows-Script-Host-Banner unterdrückt, während PowerShells „Invoke-Expression“ (IEX) die Payload decodiert und direkt im Speicher ausführt. Da der Einsatz von“SyncAppvPublishingServer.vbs“ in früheren Remcos-RAT-Kampagnen bislang kaum dokumentiert ist, ist das aktuelle Vorgehen besonders interessant.

Die verschleierte Base64-Payload verwendet die Funktion .Replace('QUBLQSVO',''), um zuvor eingefügte Fülldaten aus der Zeichenkette zu entfernen, bevor die eigentliche Decodierung erfolgt. Dabei fungiert SyncAppvPublishingServer.vbs als Ausführungsproxy, der den decodierten Base64-Inhalt unmittelbar an PowerShell zur weiteren Verarbeitung übergibt.

Der PowerShell-Befehl passt anschliessend den Modul-Suchpfad an, sodass Module gezielt aus dem aktuellen Verzeichnis anstelle des systemweiten Pfads geladen werden. Im nächsten Schritt wird das Modul „AppvClient“ importiert – ein legitimes Windows-Modul für die Virtualisierung von Anwendungen –, um die ausgeführte Aktivität unauffällig und vertrauenswürdig erscheinen zu lassen.

Payload-Staging und weitere Tools 

Das PowerShell-Skript lädt drei weitere Dateien herunter: zwei legitime 7-Zip-Komponenten sowie eine passwortgeschützte Datei „iphdcrtj.zip“ vom Cloud-Speicherdienst pCloud. 
Damit verfolgen die Bedrohungsakteure zwei Ziele:

1. Die Zuverlässigkeit der Infektionsausführung in unterschiedlichen Windows-Umgebungen wird sichergestellt. Durch das Mitbringen eigener Werkzeuge wird die Abhängigkeit von lokal installierten Programmen reduziert. Und das Risiko gesenkt, dass das Ausführen aufgrund fehlender Abhängigkeiten oder eingeschränkter Konfigurationen fehlschlägt. 
    
2. Passwortgeschützte Dateien erschweren die erste statische Analyse, da sie vor einer Untersuchung zunächst entpackt werden müssen. Zudem verhindern sie, dass File-Hosting-Dienste Malware auf ihren Systemen automatisch erkennen.

Bei der Analyse des decodierten PowerShell-Skripts bemerkten die Fachleute, dass Struktur und Formatierung der verwendeten Befehle ungewöhnlich konsistent waren. Auch die vorhandenen Code-Kommentare sind in manuell geschriebenen Schadskripten eher unüblich. Ein Beleg dafür, dass das Skript wahrscheinlich mit Unterstützung von KI-Werkzeugen erstellt oder überarbeitet wurde. Deren Einsatz ist bei der Skriptentwicklung mittlerweile sehr verbreitet.

Das heruntergeladene passwortgeschützte Archiv „iphdcrtj.zip“ enthält ein schädliches JScript, das im Verzeichnis „C:\Users\Publi“ gespeichert wird. Dieses Skript ist verschleiert und beinhaltet Füllzeichenketten, was die statische Analyse erschwert. Es erstellt zwei Dateien: einen AutoIt3-Interpreter der Version 3.3.16.1 sowie eine gefälschte PNG-Bilddatei.
Der abgelegte AutoIt-Interpreter wird anschliessend ausgeführt, um die in der gefälschten PNG-Datei eingebetteten Daten zu verarbeiten. Obwohl die PNG-Datei wie ein harmloses Bild wirkt, handelt es sich tatsächlich um ein AutoIt-Skript, das codierte Zeichenketten und API-Definitionen enthält, die erst zur Laufzeit extrahiert und entschlüsselt werden. Die eingebettete Decodierungsroutine verwendet eine Single-Byte-XOR-Verschlüsselung mit dem konstanten Schlüssel 0x63. Die wiederhergestellten Daten enthalten mehrere Datenstrukturen und Windows-API-Funktionen, die typischerweise bei Prozessinjektionen eingesetzt werden.
Diese Datenstrukturen und APIs werden eingesetzt, um die Payload der nächsten Stufe dynamisch im Speicher zu rekonstruieren und anschliessend in das legitime Windows-Dienstprogramm für die Farbverwaltung zu injizieren.

Finale Payload: Remcos RAT 

Die injizierte Payload besteht aus DonutLoader-Shellcode. Dabei handelt es sich um ein weitverbreitetes Open-Source-Werkzeug, das einen positionsunabhängigen Shellcode-Stub erzeugt, der eine PE- oder .NET-Payload direkt im Speicher einbettet. In verschiedenen realen Angriffskampagnen wurde Donut-generierter Shellcode bereits in Loadern und Infektionsketten beobachtet, die Standard-Malware wie RATs und Infostealer ausliefern.

Auch andere Analysen loaderbasierter Bedrohungen wie KissLoader lassen ein ähnliches Muster erkennen: Donut-generierter Shellcode wird als Zwischenschritt genutzt, um finale Payloads zu entschlüsseln und in Prozesse zu injizieren. Die zusätzlichen Staging-Ebenen in Kombination mit der Prozessinjektion erhöhen jedoch auch die Angriffsfläche für die Erkennung. Verteidiger erhalten dadurch mehr Möglichkeiten, die schädliche Kette abzufangen, bevor die finale Payload ausgeführt wird. Glücklicherweise existiert auf GitHub ein zuverlässiger Open-Source-Decryptor. Mit diesem lässt sich der DonutLoader-Shellcode entschlüsseln. Das Ergebnis belegt, dass es sich bei der Payload um eine vergleichsweise aktuelle Remcos RAT Version 7.2.1 Pro handelt.

Gleicher RAT, nur noch raffinierter 

Die aktuelle Infektion zeigt, dass Cyberkriminelle weiterhin Techniken wie Remcos RAT nutzen, bei denen Payloads während der Laufzeit decodiert, vorbereitet und direkt im Speicher ausgeführt werden. Der Einsatz mehrerer Skriptebenen wie PowerShell, VBScript und nativer Windows-Dienstprogramme deutet darauf hin, dass diese Variante von Remcos RAT auf Heimlichkeit und operative Flexibilität ausgelegt ist. Ein weiteres besonderes Merkmal ist die umfangreiche Nutzung von LOLBins. Legitime Windows-Dienstprogramme werden für Proxy-Ausführung und In-Memory-Codeausführung missbraucht, um einer frühzeitigen Erkennung zu entgehen und schädliche Aktivitäten mit normalen Systemvorgängen zu verschleiern.

Nach erfolgreicher Installation fungiert Remcos RAT als vollwertiger Remote-Access-Trojaner (RAT), der eine Verbindung zu einem vom Angreifer kontrollierten Command-and-Control-Server herstellt. Sobald die Verknüpfung steht, können Täter das kompromittierte System fernsteuern, Befehle ausführen, Dateien verwalten, Screenshots erstellen, Tastatureingaben aufzeichnen, Zugangsdaten stehlen, Webcams oder Mikrofone aktivieren und weitere Payloads nachladen.

Obwohl deutliche Gemeinsamkeiten zwischen verschiedenen Remcos-RAT-Kampagnen bestehen, zeigt diese Analyse auch neue Techniken. Die Einführung des durch DonutLoader erzeugtem Shellcode für Prozessinjektionen wurde bei Remcos-RAT-Infektionen bislang kaum beobachtet. Es ist davon auszugehen, dass die Tarn- und Ausführungsmethoden von Remcos RAT kontinuierlich weiterentwickelt und verfeinert werden.