ريمكوسرات

التهديدات بطاقة الأداء

تصنيف: 4,425
مستوى التهديد: 80 % (عالي)
أجهزة الكمبيوتر المصابة: 26,563
الروية الأولى: October 16, 2016
اخر ظهور: August 5, 2024
نظام (أنظمة) متأثر: Windows

يعد Remcos RAT (Remote Access Trojan) برنامجًا ضارًا معقدًا مصممًا للتسلل إلى أنظمة تشغيل Windows والتحكم فيها. تم تطوير Remcos وبيعه من قبل شركة ألمانية تدعى Breaking Security كأداة مشروعة للتحكم عن بعد والمراقبة، وكثيرًا ما يتم إساءة استخدام Remcos من قبل مجرمي الإنترنت لأغراض ضارة. تتعمق هذه المقالة في الخصائص والقدرات والتأثيرات والدفاعات المتعلقة بـ Remcos RAT، بالإضافة إلى الأحداث البارزة الأخيرة التي تنطوي على نشره.

طرق النشر والعدوى

هجمات التصيد
عادةً ما يتم توزيع Remcos من خلال هجمات التصيد الاحتيالي، حيث يتم خداع المستخدمين المطمئنين لتنزيل الملفات الضارة وتنفيذها. غالبًا ما تحتوي رسائل البريد الإلكتروني التصيدية هذه على ما يلي:

ملفات ZIP ضارة متخفية في هيئة ملفات PDF، تدعي أنها فواتير أو طلبات.
مستندات Microsoft Office التي تحتوي على وحدات ماكرو ضارة مضمنة مصممة لنشر البرامج الضارة عند التنشيط.

تقنيات التهرب
لتجنب الكشف، تستخدم Remcos تقنيات متقدمة مثل:

  • حقن العملية أو تفريغ العملية : تسمح هذه الطريقة لـ Remcos بالتنفيذ ضمن عملية مشروعة، وبالتالي تجنب اكتشاف برامج مكافحة الفيروسات.
  • آليات الثبات : بمجرد التثبيت، يضمن Remcos أن يظل نشطًا من خلال استخدام آليات تسمح له بالعمل في الخلفية، مخفيًا عن المستخدم.

البنية التحتية للقيادة والتحكم (C2).

تتمثل القدرة الأساسية لـ Remcos في وظيفة القيادة والتحكم (C2). وتقوم البرمجيات الخبيثة بتشفير حركة اتصالاتها في طريقها إلى خادم C2، مما يجعل من الصعب على إجراءات أمان الشبكة اعتراض البيانات وتحليلها. تستخدم Remcos DNS الموزع (DDNS) لإنشاء مجالات متعددة لخوادم C2 الخاصة بها. تساعد هذه التقنية البرامج الضارة على التهرب من إجراءات الحماية الأمنية التي تعتمد على تصفية حركة المرور إلى المجالات الضارة المعروفة، مما يعزز مرونتها واستمراريتها.

قدرات Remcos RAT

Remcos RAT هي أداة قوية توفر إمكانات عديدة للمهاجمين، مما يتيح التحكم والاستغلال الشاملين للأنظمة المصابة:

ارتفاع الامتياز
يمكن لـ Remcos الحصول على أذونات المسؤول على النظام المصاب، مما يسمح له بما يلي:

  • تعطيل التحكم في حساب المستخدم (UAC).
  • تنفيذ العديد من الوظائف الضارة بامتيازات مرتفعة.

التهرب من الدفاع
باستخدام حقن العمليات، يقوم Remcos بدمج نفسه ضمن العمليات المشروعة، مما يجعل اكتشاف برامج مكافحة الفيروسات أمرًا صعبًا. بالإضافة إلى ذلك، فإن قدرته على العمل في الخلفية تخفي وجوده عن المستخدمين.

جمع البيانات

Remcos بارع في جمع مجموعة واسعة من البيانات من النظام المصاب، بما في ذلك:

  • ضربات المفاتيح
  • لقطات الشاشة
  • التسجيلات الصوتية
  • محتويات الحافظة
  • كلمات المرور المخزنة

تأثير عدوى Remcos RAT

إن عواقب الإصابة بـ Remcos كبيرة ومتعددة الأوجه، وتؤثر على كل من المستخدمين الأفراد والمؤسسات:

  • الاستيلاء على الحساب
    من خلال تسجيل ضغطات المفاتيح وسرقة كلمات المرور، يمكّن Remcos المهاجمين من الاستيلاء على الحسابات عبر الإنترنت والأنظمة الأخرى، مما قد يؤدي إلى مزيد من سرقة البيانات والوصول غير المصرح به داخل شبكة المؤسسة.
  • سرقة البيانات
    Remcos قادر على استخراج البيانات الحساسة من النظام المصاب. يمكن أن يؤدي ذلك إلى اختراق البيانات، إما مباشرة من جهاز الكمبيوتر المخترق أو من أنظمة أخرى يتم الوصول إليها باستخدام بيانات الاعتماد المسروقة.
  • متابعة العدوى
    يمكن أن تكون الإصابة بـ Remcos بمثابة بوابة لنشر متغيرات إضافية من البرامج الضارة. وهذا يزيد من خطر الهجمات اللاحقة، مثل الإصابة ببرامج الفدية، مما يزيد من تفاقم الضرر.

الحماية من البرامج الضارة Remcos

يمكن للمؤسسات اعتماد العديد من الاستراتيجيات وأفضل الممارسات للحماية من عدوى Remcos:

مسح البريد الإلكتروني
يمكن أن يؤدي تنفيذ حلول فحص البريد الإلكتروني التي تحدد رسائل البريد الإلكتروني المشبوهة وتحظرها إلى منع التسليم الأولي لـ Remcos إلى صناديق البريد الوارد للمستخدمين.

تحليل المجال
يمكن أن تساعد مراقبة وتحليل سجلات المجال التي تطلبها نقاط النهاية في تحديد وحظر المجالات الجديدة أو المشبوهة التي قد تكون مرتبطة بـ Remcos.

تحليل حركة مرور الشبكة
يمكن اكتشاف متغيرات Remcos التي تقوم بتشفير حركة المرور الخاصة بها باستخدام بروتوكولات غير قياسية من خلال تحليل حركة مرور الشبكة، والذي يمكن أن يشير إلى أنماط حركة مرور غير عادية لمزيد من التحقيق.

أمن نقطة النهاية
يعد نشر حلول أمان نقطة النهاية مع القدرة على اكتشاف إصابات Remcos وعلاجها أمرًا بالغ الأهمية. تعتمد هذه الحلول على مؤشرات التسوية المحددة لتحديد البرامج الضارة وتحييدها.

استغلال انقطاع CrowdStrike

وفي حادث وقع مؤخرًا، استغل مجرمو الإنترنت انقطاعًا عالميًا لشركة الأمن السيبراني CrowdStrike لتوزيع Remcos RAT. استهدف المهاجمون عملاء CrowdStrike في أمريكا اللاتينية من خلال توزيع ملف أرشيف ZIP باسم "crowdstrike-hotfix.zip". يحتوي هذا الملف على أداة تحميل البرامج الضارة، Hijack Loader، التي أطلقت لاحقًا حمولة Remcos RAT.

يتضمن أرشيف ZIP ملفًا نصيًا ('instrucciones.txt') يحتوي على تعليمات باللغة الإسبانية، لحث الأهداف على تشغيل ملف قابل للتنفيذ ('setup.exe') للتعافي من المشكلة. يشير استخدام أسماء الملفات والتعليمات الإسبانية إلى وجود حملة مستهدفة تستهدف عملاء CrowdStrike في أمريكا اللاتينية.

خاتمة

يعد Remcos RAT برنامجًا ضارًا قويًا ومتعدد الاستخدامات ويشكل تهديدًا كبيرًا لأنظمة Windows. إن قدرتها على تجنب الاكتشاف والحصول على امتيازات عالية وجمع بيانات واسعة النطاق تجعلها أداة مفضلة بين مجرمي الإنترنت. ومن خلال فهم أساليب النشر وإمكانياته وتأثيراته، يمكن للمؤسسات الدفاع بشكل أفضل ضد هذه البرامج الضارة. يعد تنفيذ تدابير أمنية قوية والبقاء يقظًا ضد هجمات التصيد الاحتيالي خطوات حاسمة في التخفيف من المخاطر التي يشكلها Remcos RAT.

SpyHunter يكتشف ويزيل ريمكوسرات

ريمكوسرات فيديو

نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.

ملف تفاصيل النظام

ريمكوسرات قد تنشئ الملفات التالية:
# اسم الملف MD5 الاكتشافات
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

تفاصيل التسجيل

ريمكوسرات قد ينشئ إدخال التسجيل أو إدخالات التسجيل التالية:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

الدلائل

ريمكوسرات قد ينشئ الدليل أو الدلائل التالية:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

الشائع

الأكثر مشاهدة

جار التحميل...