RemcosRAT
כרטיס ניקוד איומים
כרטיס ניקוד של EnigmaSoft Threat
EnigmaSoft Threat Scorecards הם דוחות הערכה לאיומי תוכנות זדוניות שונים אשר נאספו ונותחו על ידי צוות המחקר שלנו. כרטיסי ניקוד איום של EnigmaSoft מעריכים ומדרגים איומים באמצעות מספר מדדים, כולל גורמי סיכון, מגמות, תדירות, שכיחות והתמדה בעולם האמיתי ופוטנציאלי. כרטיסי הניקוד של EnigmaSoft Threat Card מתעדכנים באופן קבוע על סמך נתוני המחקר והמדדים שלנו והם שימושיים עבור מגוון רחב של משתמשי מחשב, ממשתמשי קצה המחפשים פתרונות להסרת תוכנות זדוניות מהמערכות שלהם ועד למומחי אבטחה המנתחים איומים.
כרטיסי הניקוד של EnigmaSoft Threat מציגים מגוון מידע שימושי, כולל:
דירוג: הדירוג של איום מסוים במאגר האיומים של EnigmaSoft.
רמת חומרה: רמת החומרה שנקבעה של אובייקט, מיוצגת מספרית, בהתבסס על תהליך מודל הסיכון והמחקר שלנו, כפי שהוסבר בקריטריוני הערכת האיום שלנו.
מחשבים נגועים: מספר המקרים המאושרים והחשודים של איום מסוים שזוהה במחשבים נגועים כפי שדווח על ידי SpyHunter.
ראה גם קריטריונים להערכת איומים .
דירוג: | 4,425 |
רמת איום: | 80 % (גָבוֹהַ) |
מחשבים נגועים: | 26,563 |
נראה לראשונה: | October 16, 2016 |
נראה לאחרונה: | August 5, 2024 |
מערכת הפעלה מושפעת: | Windows |
Remcos RAT (Trojan Access Remote Trojan) הוא תוכנה זדונית מתוחכמת שנועדה לחדור ולשלוט במערכות ההפעלה של Windows. שפותחה ונמכרת על ידי חברה גרמנית בשם Breaking Security ככלי לגיטימי של שלט ומעקב מרחוק, Remcos מנוצלת לעתים קרובות על ידי פושעי סייבר למטרות זדוניות. מאמר זה מתעמק במאפיינים, היכולות, ההשפעות וההגנות הקשורות ל- Remcos RAT, כמו גם באירועים בולטים אחרונים הקשורים לפריסתו.
תוכן העניינים
שיטות פריסה וזיהום
התקפות דיוג
Remcos מופץ בדרך כלל באמצעות התקפות פישינג, שבהן משתמשים תמימים מורמות להורדה וביצוע של קבצים זדוניים. הודעות דוא"ל דיוג אלה מכילות לעתים קרובות:
קובצי ZIP זדוניים המחופשים לקובצי PDF, הטוענים שהם חשבוניות או הזמנות.
מסמכי Microsoft Office עם פקודות מאקרו זדוניות משובצות שנועדו לפרוס את התוכנה הזדונית עם ההפעלה.
טכניקות התחמקות
כדי להתחמק מגילוי, Remcos משתמשת בטכניקות מתקדמות כגון:
- הזרקת תהליכים או חלילת תהליכים : שיטה זו מאפשרת ל-Remcos לבצע תהליך לגיטימי, ובכך להימנע מזיהוי על ידי תוכנת אנטי-וירוס.
- מנגנוני התמדה : לאחר ההתקנה, Remcos מבטיח שהוא יישאר פעיל על ידי שימוש במנגנונים המאפשרים לו לפעול ברקע, מוסתר מהמשתמש.
תשתית פיקוד ושליטה (C2).
יכולת הליבה של Remcos היא פונקציונליות ה-Command-and-Control (C2) שלה. התוכנה הזדונית מצפינה את תעבורת התקשורת שלה בדרך לשרת C2, מה שמקשה על אמצעי אבטחת הרשת ליירט ולנתח את הנתונים. Remcos משתמשת ב-DNS מבוזר (DDNS) כדי ליצור דומיינים מרובים עבור שרתי ה-C2 שלה. טכניקה זו מסייעת לתוכנות זדוניות לחמוק מהגנות אבטחה המסתמכות על סינון תעבורה לדומיינים זדוניים ידועים, תוך שיפור עמידותה והתמדה שלה.
יכולות של Remcos RAT
Remcos RAT הוא כלי רב עוצמה המציע יכולות רבות לתוקפים, המאפשר שליטה וניצול נרחבים של מערכות נגועות:
גובה הרשאות
Remcos יכולה לקבל הרשאות מנהל במערכת נגועה, מה שמאפשר לה:
- השבת את בקרת חשבון משתמש (UAC).
- בצע פונקציות זדוניות שונות עם הרשאות גבוהות.
התחמקות מהגנה
על ידי שימוש בהזרקת תהליכים, Remcos מטמיע את עצמה בתוך תהליכים לגיטימיים, מה שהופך את זה למאתגר עבור תוכנת אנטי-וירוס לזהות. בנוסף, היכולת שלו לרוץ ברקע מסתירה עוד יותר את נוכחותו מהמשתמשים.
איסוף נתונים
Remcos מיומנת באיסוף מגוון רחב של נתונים מהמערכת הנגועה, כולל:
- הקשות
- צילומי מסך
- הקלטות אודיו
- תוכן הלוח
- סיסמאות מאוחסנות
ההשפעה של זיהום RAT של Remcos
ההשלכות של זיהום Remcos הן משמעותיות ורב-גוניות, ומשפיעות הן על משתמשים בודדים והן על ארגונים:
- השתלטות על חשבון
על ידי רישום הקשות וגניבת סיסמאות, Remcos מאפשרת לתוקפים להשתלט על חשבונות מקוונים ומערכות אחרות, מה שעלול להוביל לגניבת מידע נוספת וגישה לא מורשית בתוך הרשת של הארגון. - גניבת נתונים
Remcos מסוגלת לסנן נתונים רגישים מהמערכת הנגועה. זה יכול לגרום לפרצות נתונים, ישירות מהמחשב שנפגע או ממערכות אחרות שהגישה אליהן מתבצעת באמצעות אישורים גנובים. - דלקות המשך
זיהום עם Remcos יכול לשמש שער לפריסת גרסאות תוכנות זדוניות נוספות. זה מגביר את הסיכון להתקפות עוקבות, כמו זיהומים של תוכנות כופר, מה שמחמיר עוד יותר את הנזק.
הגנה מפני תוכנות זדוניות של Remcos
ארגונים יכולים לאמץ מספר אסטרטגיות ושיטות עבודה מומלצות להגנה מפני זיהומי Remcos:
סריקת דואר אלקטרוני
הטמעת פתרונות סריקת דואר אלקטרוני המזהים וחוסמים מיילים חשודים יכולים למנוע את המסירה הראשונית של Remcos לתיבות הדואר הנכנס של המשתמשים.
ניתוח תחום
ניטור וניתוח של רשומות דומיינים המתבקשות על ידי נקודות קצה יכולים לעזור לזהות ולחסום דומיינים צעירים או חשודים שעלולים להיות משויכים ל- Remcos.
ניתוח תנועה ברשת
ניתן לזהות גרסאות של Remcos המצפינות את התעבורה שלהן באמצעות פרוטוקולים לא סטנדרטיים באמצעות ניתוח תעבורת רשת, שיכול לסמן דפוסי תעבורה חריגים לחקירה נוספת.
אבטחת נקודות קצה
פריסת פתרונות אבטחה של נקודות קצה עם היכולת לזהות ולתקן זיהומים של Remcos היא חיונית. פתרונות אלה מסתמכים על אינדיקטורים מבוססים של פשרה כדי לזהות ולנטרל את התוכנה הזדונית.
ניצול הפסקת CrowdStrike
בתקרית לאחרונה, פושעי סייבר ניצלו הפסקה עולמית של חברת אבטחת הסייבר CrowdStrike כדי להפיץ את Remcos RAT. התוקפים כוונו ללקוחות CrowdStrike באמריקה הלטינית על ידי הפצת קובץ ארכיון ZIP בשם 'crowdstrike-hotfix.zip'. קובץ זה הכיל מטעין תוכנות זדוניות, Hijack Loader, שהשיק לאחר מכן את מטען Remcos RAT.
ארכיון ה-ZIP כלל קובץ טקסט ('instrucciones.txt') עם הוראות בשפה הספרדית, שקורא למטרות להפעיל קובץ הפעלה ('setup.exe') כדי להתאושש כביכול מהבעיה. השימוש בשמות קבצים ובהוראות ספרדיות מצביע על קמפיין ממוקד המכוון ללקוחות CrowdStrike שבסיסם באמריקה הלטינית.
סיכום
Remcos RAT הוא תוכנה זדונית חזקה ורב-תכליתית המהווה איום משמעותי על מערכות Windows. היכולת שלו להתחמק מגילוי, להשיג הרשאות גבוהות ולאסוף נתונים נרחבים הופכת אותו לכלי מועדף בקרב פושעי סייבר. על ידי הבנת שיטות הפריסה, היכולות וההשפעות שלה, ארגונים יכולים להתגונן טוב יותר מפני תוכנה זדונית זו. יישום אמצעי אבטחה חזקים ושמירה על ערנות מפני התקפות דיוג הם צעדים חיוניים בהפחתת הסיכון הנשקף מ- Remcos RAT.
SpyHunter מזהה והסר RemcosRAT
RemcosRAT וידאו
טיפ: הפעל הקול שלך ON ולצפות בסרטון במצב של מסך מלא.
פרטי מערכת הקבצים
# | שם קובץ | MD5 |
זיהויים
זיהויים: מספר המקרים המאושרים והחשודים של איום מסוים שזוהה במחשבים נגועים כפי שדווח על ידי SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
פרטי הרישום
מדריכים
RemcosRAT עשוי ליצור את הספרייה או הספריות הבאות:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |