РемкосРАТ

Карта показателей угрозы

Рейтинг: 4,425
Уровень угрозы: 80 % (Высокая)
Зараженные компьютеры: 26,563
Первый раз: October 16, 2016
Последний визит: August 5, 2024
ОС(а) Затронутые: Windows

Remcos RAT (троян удаленного доступа) — это сложное вредоносное ПО, предназначенное для проникновения в операционные системы Windows и управления ими. Remcos, разработанный и продаваемый немецкой компанией Breaking Security как законный инструмент дистанционного управления и наблюдения, часто используется киберпреступниками в злонамеренных целях. В этой статье рассматриваются характеристики, возможности, последствия и средства защиты, связанные с Remcos RAT, а также недавние заметные инциденты, связанные с его развертыванием.

Методы развертывания и заражения

Фишинговые атаки
Remcos обычно распространяется посредством фишинговых атак, в ходе которых ничего не подозревающих пользователей обманом заставляют загружать и запускать вредоносные файлы. Эти фишинговые письма часто содержат:

Вредоносные ZIP-файлы, замаскированные под PDF-файлы и выдающие себя за счета-фактуры или заказы.
Документы Microsoft Office со встроенными вредоносными макросами, предназначенными для развертывания вредоносного ПО при активации.

Техники уклонения
Чтобы избежать обнаружения, Remcos использует передовые методы, такие как:

  • Внедрение процесса или удаление процесса : этот метод позволяет Remcos выполняться в рамках законного процесса, тем самым избегая обнаружения антивирусным программным обеспечением.
  • Механизмы сохранения : после установки Remcos гарантирует, что он останется активным, используя механизмы, которые позволяют ему работать в фоновом режиме, скрыто от пользователя.

Инфраструктура командования и управления (C2)

Основная возможность Remcos — это функциональность управления и контроля (C2). Вредоносное ПО шифрует свой коммуникационный трафик на пути к серверу C2, что затрудняет перехват и анализ данных мерами сетевой безопасности. Remcos использует распределенный DNS (DDNS) для создания нескольких доменов для своих серверов C2. Этот метод помогает вредоносному ПО обходить средства защиты, которые основаны на фильтрации трафика к известным вредоносным доменам, повышая его устойчивость и устойчивость.

Возможности Remcos RAT

Remcos RAT — это мощный инструмент, который предлагает злоумышленникам многочисленные возможности, позволяющие осуществлять обширный контроль и эксплуатацию зараженных систем:

Повышение привилегий
Remcos может получить права администратора в зараженной системе, что позволяет ей:

  • Отключите контроль учетных записей пользователей (UAC).
  • Выполнять различные вредоносные функции с повышенными привилегиями.

Уклонение от защиты
Используя внедрение процессов, Remcos встраивается в законные процессы, что затрудняет обнаружение антивирусным программным обеспечением. Кроме того, его способность работать в фоновом режиме еще больше скрывает его присутствие от пользователей.

Сбор данных

Remcos умеет собирать широкий спектр данных из зараженной системы, в том числе:

  • Нажатия клавиш
  • Скриншоты
  • Аудиозаписи
  • Содержимое буфера обмена
  • Сохраненные пароли

Влияние инфекции Remco RAT

Последствия заражения Remcos значительны и многогранны и затрагивают как отдельных пользователей, так и организации:

  • захват аккаунта
    Регистрируя нажатия клавиш и похищая пароли, Remcos позволяет злоумышленникам захватывать онлайн-аккаунты и другие системы, что потенциально может привести к дальнейшей краже данных и несанкционированному доступу в сети организации.
  • Кража данных
    Remcos способен извлекать конфиденциальные данные из зараженной системы. Это может привести к утечке данных либо непосредственно с взломанного компьютера, либо из других систем, доступ к которым осуществляется с использованием украденных учетных данных.
  • Последующие инфекции
    Заражение Remcos может служить шлюзом для развертывания дополнительных вариантов вредоносного ПО. Это увеличивает риск последующих атак, таких как заражение программами-вымогателями, что еще больше усугубляет ущерб.

Защита от вредоносного ПО Remcos

Организации могут принять несколько стратегий и лучших практик для защиты от инфекций Remcos:

Сканирование электронной почты
Внедрение решений для сканирования электронной почты, которые идентифицируют и блокируют подозрительные электронные письма, может предотвратить первоначальную доставку Remcos в почтовые ящики пользователей.

Анализ домена
Мониторинг и анализ записей домена, запрошенных конечными точками, может помочь выявить и заблокировать молодые или подозрительные домены, которые могут быть связаны с Remcos.

Анализ сетевого трафика
Варианты Remcos, которые шифруют свой трафик с использованием нестандартных протоколов, можно обнаружить с помощью анализа сетевого трафика, который может выявить необычные шаблоны трафика для дальнейшего расследования.

Конечная безопасность
Развертывание решений по обеспечению безопасности конечных точек с возможностью обнаружения и устранения инфекций Remcos имеет решающее значение. Эти решения основаны на установленных индикаторах компрометации для выявления и нейтрализации вредоносного ПО.

Использование сбоя CrowdStrike

В ходе недавнего инцидента киберпреступники воспользовались сбоем в работе компании по обеспечению кибербезопасности CrowdStrike по всему миру для распространения Remcos RAT. Злоумышленники нацелились на клиентов CrowdStrike в Латинской Америке, распространяя ZIP-архив с именем «crowdstrike-hotfix.zip». Этот файл содержал загрузчик вредоносного ПО Hijack Loader, который впоследствии запускал полезную нагрузку Remcos RAT.

ZIP-архив содержал текстовый файл («instrucciones.txt») с инструкциями на испанском языке, призывающими жертву запустить исполняемый файл («setup.exe»), чтобы якобы устранить проблему. Использование названий файлов и инструкций на испанском языке указывает на целевую кампанию, направленную на клиентов CrowdStrike из Латинской Америки.

Заключение

Remcos RAT — мощное и универсальное вредоносное ПО, представляющее значительную угрозу для систем Windows. Его способность уклоняться от обнаружения, получать повышенные привилегии и собирать обширные данные делает его излюбленным инструментом среди киберпреступников. Понимая методы, возможности и последствия его развертывания, организации могут лучше защититься от этого вредоносного программного обеспечения. Внедрение надежных мер безопасности и бдительность в отношении фишинговых атак являются важными шагами в снижении риска, исходящего от Remcos RAT.

SpyHunter обнаруживает и удаляет РемкосРАТ

РемкосРАТ Видео

Совет: Включите звук ON и смотреть видео в полноэкранном режиме.

Сведения о файловой системе

РемкосРАТ может создавать следующие файлы:
# Имя файла MD5 Обнаружения
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Детали реестра

РемкосРАТ может создать следующую запись или записи реестра:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Каталоги

РемкосРАТ может создать следующий каталог или каталоги:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

В тренде

Наиболее просматриваемые

Загрузка...