RemcosRAT

Karta prijetnji

Poredak: 4,425
Razina prijetnje: 80 % (Visoko)
Zaražena računala: 26,563
Prvi put viđeno: October 16, 2016
Zadnje viđeno: August 5, 2024
Pogođeni OS: Windows

Remcos RAT (trojanac za daljinski pristup) je sofisticirani malware dizajniran za infiltraciju i kontrolu Windows operativnih sustava. Razvijen i prodan od strane njemačke tvrtke pod nazivom Breaking Security kao legitiman alat za daljinsko upravljanje i nadzor, Remcos kibernetički kriminalci često zlorabe u zlonamjerne svrhe. Ovaj članak istražuje karakteristike, mogućnosti, utjecaje i obrane povezane s Remcos RAT-om, kao i nedavne značajne incidente koji uključuju njegovu implementaciju.

Metode postavljanja i zaraze

Phishing napadi
Remcos se obično distribuira putem phishing napada, pri čemu se korisnici koji ništa ne sumnjaju prevare da preuzmu i pokrenu zlonamjerne datoteke. Ove phishing e-poruke često sadrže:

Zlonamjerne ZIP datoteke prerušene u PDF, koje se predstavljaju kao fakture ili narudžbe.
Microsoft Office dokumenti s ugrađenim zlonamjernim makronaredbama dizajniranim za implementaciju zlonamjernog softvera nakon aktivacije.

Tehnike izbjegavanja
Kako bi izbjegao otkrivanje, Remcos koristi napredne tehnike kao što su:

  • Process Injection ili Process Hollowing : Ova metoda omogućuje Remcosu da se izvrši unutar legitimnog procesa, čime se izbjegava otkrivanje od strane antivirusnog softvera.
  • Mehanizmi postojanosti : Jednom instaliran, Remcos osigurava da ostane aktivan korištenjem mehanizama koji mu omogućuju rad u pozadini, skriven od korisnika.

Infrastruktura upravljanja i kontrole (C2).

Temeljna sposobnost Remcosa je njegova funkcija zapovijedanja i kontrole (C2). Zlonamjerni softver šifrira svoj komunikacijski promet na putu do C2 poslužitelja, što otežava mrežnim sigurnosnim mjerama presretanje i analizu podataka. Remcos koristi distribuirani DNS (DDNS) za stvaranje više domena za svoje C2 poslužitelje. Ova tehnika pomaže zlonamjernom softveru da izbjegne sigurnosnu zaštitu koja se oslanja na filtriranje prometa prema poznatim zlonamjernim domenama, povećavajući njegovu otpornost i postojanost.

Mogućnosti Remcos RAT-a

Remcos RAT je moćan alat koji napadačima nudi brojne mogućnosti, omogućujući opsežnu kontrolu i iskorištavanje zaraženih sustava:

Privilege Elevation
Remcos može dobiti administratorske ovlasti na zaraženom sustavu, omogućujući mu sljedeće:

  • Onemogućite kontrolu korisničkog računa (UAC).
  • Izvršite razne zlonamjerne funkcije s povišenim privilegijama.

Izbjegavanje obrane
Korištenjem ubrizgavanja procesa, Remcos se ugrađuje u legitimne procese, što antivirusnom softveru čini izazovnim otkrivanje. Osim toga, njegova sposobnost rada u pozadini dodatno skriva svoju prisutnost od korisnika.

Prikupljanje podataka

Remcos je vješt u prikupljanju širokog spektra podataka iz zaraženog sustava, uključujući:

  • Tipke
  • Snimke zaslona
  • Audio zapisi
  • Sadržaj međuspremnika
  • Pohranjene lozinke

Utjecaj Remcos RAT infekcije

Posljedice infekcije Remcosom značajne su i višestruke, a pogađaju i pojedinačne korisnike i organizacije:

  • Preuzimanje računa
    Bilježenjem pritisaka tipki i krađom lozinki, Remcos omogućuje napadačima da preuzmu online račune i druge sustave, potencijalno dovodeći do daljnje krađe podataka i neovlaštenog pristupa unutar mreže organizacije.
  • Krađa podataka
    Remcos je sposoban eksfiltrirati osjetljive podatke iz zaraženog sustava. To može rezultirati kršenjem podataka, bilo izravno s kompromitiranog računala ili s drugih sustava kojima se pristupa pomoću ukradenih vjerodajnica.
  • Naknadne infekcije
    Infekcija s Remcosom može poslužiti kao pristupnik za uvođenje dodatnih varijanti zlonamjernog softvera. To povećava rizik od naknadnih napada, kao što su infekcije ransomwareom, što dodatno pogoršava štetu.

Zaštita od Remcos zlonamjernog softvera

Organizacije mogu usvojiti nekoliko strategija i najboljih praksi za zaštitu od Remcos infekcija:

Skeniranje e-pošte
Implementacija rješenja za skeniranje e-pošte koja identificiraju i blokiraju sumnjivu e-poštu može spriječiti početnu isporuku Remcosa u korisničke sandučiće.

Analiza domene
Praćenje i analiza zapisa domene koje zahtijevaju krajnje točke može pomoći u identificiranju i blokiranju mladih ili sumnjivih domena koje bi mogle biti povezane s Remcosom.

Analiza mrežnog prometa
Remcosove varijante koje šifriraju svoj promet pomoću nestandardnih protokola mogu se otkriti analizom mrežnog prometa, koja može označiti neobične obrasce prometa za daljnju istragu.

Sigurnost krajnje točke
Implementacija sigurnosnih rješenja krajnjih točaka s mogućnošću otkrivanja i saniranja Remcos infekcija je ključna. Ta se rješenja oslanjaju na utvrđene pokazatelje ugroženosti za prepoznavanje i neutraliziranje zlonamjernog softvera.

Iskorištavanje prekida rada CrowdStrikea

U nedavnom incidentu kibernetički kriminalci iskoristili su svjetski prekid rada tvrtke za kibernetičku sigurnost CrowdStrike da distribuiraju Remcos RAT. Napadači su ciljali korisnike CrowdStrikea u Latinskoj Americi distribucijom ZIP arhivske datoteke pod nazivom 'crowdstrike-hotfix.zip.' Ova je datoteka sadržavala učitavač zlonamjernog softvera, Hijack Loader, koji je potom pokrenuo korisni teret Remcos RAT.

ZIP arhiva uključivala je tekstualnu datoteku ('instrucciones.txt') s uputama na španjolskom jeziku, pozivajući mete da pokrenu izvršnu datoteku ('setup.exe') kako bi se navodno oporavili od problema. Upotreba španjolskih naziva datoteka i uputa ukazuje na ciljanu kampanju usmjerenu na korisnike CrowdStrikea u Latinskoj Americi.

Zaključak

Remcos RAT je moćan i svestran malware koji predstavlja značajnu prijetnju Windows sustavima. Njegova sposobnost izbjegavanja otkrivanja, dobivanja povećanih privilegija i prikupljanja opsežnih podataka čini ga omiljenim alatom među kibernetičkim kriminalcima. Razumijevanjem njegovih metoda implementacije, mogućnosti i utjecaja, organizacije se mogu bolje obraniti od ovog zlonamjernog softvera. Provedba robusnih sigurnosnih mjera i oprez protiv phishing napada ključni su koraci u ublažavanju rizika koji predstavlja Remcos RAT.

SpyHunter otkriva i uklanja RemcosRAT

RemcosRAT video

Savjet: Pretvorite svoj zvuk i gledati video u full screen modu.

Pojedinosti o datotečnom sustavu

RemcosRAT može stvoriti sljedeće datoteke:
# Naziv datoteke MD5 Detekcije
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Pojedinosti registra

RemcosRAT može stvoriti sljedeći unos ili unose registra:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Imenici

RemcosRAT može stvoriti sljedeći direktorij ili direktorije:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

U trendu

Nagledanije

Učitavam...