RemcosRAT
ดัชนีชี้วัดภัยคุกคาม
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards เป็นรายงานการประเมินภัยคุกคามมัลแวร์ต่างๆ ซึ่งรวบรวมและวิเคราะห์โดยทีมวิจัยของเรา EnigmaSoft Threat Scorecards ประเมินและจัดอันดับภัยคุกคามโดยใช้เมตริกต่างๆ รวมถึงปัจจัยเสี่ยงในโลกแห่งความเป็นจริงและที่อาจเกิดขึ้น แนวโน้ม ความถี่ ความชุก และการคงอยู่ EnigmaSoft Threat Scorecards ได้รับการอัปเดตเป็นประจำตามข้อมูลการวิจัยและเมตริกของเรา และมีประโยชน์สำหรับผู้ใช้คอมพิวเตอร์หลากหลายประเภท ตั้งแต่ผู้ใช้ปลายทางที่กำลังมองหาโซลูชันเพื่อลบมัลแวร์ออกจากระบบของพวกเขา ไปจนถึงผู้เชี่ยวชาญด้านความปลอดภัยที่วิเคราะห์ภัยคุกคาม
EnigmaSoft Threat Scorecards แสดงข้อมูลที่เป็นประโยชน์มากมาย รวมถึง:
การจัดอันดับ: การจัดอันดับภัยคุกคามเฉพาะในฐานข้อมูลภัยคุกคามของ EnigmaSoft
ระดับความรุนแรง: ระดับความ รุนแรงที่กำหนดของวัตถุ ซึ่งแสดงเป็นตัวเลข โดยอิงตามกระบวนการสร้างแบบจำลองความเสี่ยงและการวิจัยตามที่อธิบายไว้ใน เกณฑ์การประเมินภัยคุกคาม
คอมพิวเตอร์ที่ติดไวรัส: จำนวนกรณีที่ได้รับการยืนยันและสงสัยว่าเป็นภัยคุกคามเฉพาะที่ตรวจพบในคอมพิวเตอร์ที่ติดไวรัสตามที่ SpyHunter รายงาน
ดูเพิ่มเติมที่ เกณฑ์การประเมินภัยคุกคาม
อันดับ: | 4,425 |
ระดับภัยคุกคาม: | 80 % (สูง) |
คอมพิวเตอร์ที่ติดเชื้อ: | 26,563 |
เห็นครั้งแรก: | October 16, 2016 |
ครั้งสุดท้ายที่เจอ: | August 5, 2024 |
ระบบปฏิบัติการที่ได้รับผลกระทบ: | Windows |
Remcos RAT (โทรจันการเข้าถึงระยะไกล) เป็นมัลแวร์ที่ซับซ้อนที่ออกแบบมาเพื่อแทรกซึมและควบคุมระบบปฏิบัติการ Windows พัฒนาและจำหน่ายโดยบริษัทเยอรมันชื่อ Breaking Security เป็นเครื่องมือควบคุมและเฝ้าระวังระยะไกลที่ถูกต้องตามกฎหมาย Remcos มักถูกอาชญากรไซเบอร์นำไปใช้ในทางที่ผิดบ่อยครั้งเพื่อจุดประสงค์ที่เป็นอันตราย บทความนี้เจาะลึกถึงคุณลักษณะ ความสามารถ ผลกระทบ และการป้องกันที่เกี่ยวข้องกับ Remcos RAT รวมถึงเหตุการณ์สำคัญล่าสุดที่เกี่ยวข้องกับการใช้งาน
สารบัญ
วิธีการปรับใช้และการติดเชื้อ
การโจมตีแบบฟิชชิ่ง
โดยทั่วไป Remcos จะถูกกระจายผ่านการโจมตีแบบฟิชชิ่ง โดยที่ผู้ใช้ที่ไม่สงสัยจะถูกหลอกให้ดาวน์โหลดและเรียกใช้ไฟล์ที่เป็นอันตราย อีเมลฟิชชิ่งเหล่านี้มักประกอบด้วย:
ไฟล์ ZIP ที่เป็นอันตรายซึ่งปลอมแปลงเป็น PDF โดยอ้างว่าเป็นใบแจ้งหนี้หรือคำสั่งซื้อ
เอกสาร Microsoft Office พร้อมมาโครที่เป็นอันตรายฝังอยู่ซึ่งออกแบบมาเพื่อปรับใช้มัลแวร์เมื่อเปิดใช้งาน
เทคนิคการหลบหลีก
เพื่อหลบเลี่ยงการตรวจจับ Remcos ใช้เทคนิคขั้นสูง เช่น:
- การฉีดกระบวนการหรือการกลวงกระบวนการ : วิธีนี้ช่วยให้ Remcos ดำเนินการภายในกระบวนการที่ถูกต้องตามกฎหมาย ดังนั้นจึงหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์ป้องกันไวรัส
- กลไกการคงอยู่ : เมื่อติดตั้งแล้ว Remcos จะตรวจสอบให้แน่ใจว่ายังคงทำงานอยู่โดยใช้กลไกที่อนุญาตให้ทำงานในพื้นหลังซึ่งซ่อนไม่ให้ผู้ใช้เห็น
โครงสร้างพื้นฐานคำสั่งและการควบคุม (C2)
ความสามารถหลักของ Remcos คือฟังก์ชัน Command-and-Control (C2) มัลแวร์เข้ารหัสการรับส่งข้อมูลการสื่อสารระหว่างเส้นทางไปยังเซิร์ฟเวอร์ C2 ทำให้ยากสำหรับมาตรการรักษาความปลอดภัยเครือข่ายในการสกัดกั้นและวิเคราะห์ข้อมูล Remcos ใช้ Distributed DNS (DDNS) เพื่อสร้างหลายโดเมนสำหรับเซิร์ฟเวอร์ C2 เทคนิคนี้ช่วยให้มัลแวร์หลบเลี่ยงการป้องกันความปลอดภัยที่ต้องอาศัยการกรองการรับส่งข้อมูลไปยังโดเมนที่เป็นอันตรายซึ่งเพิ่มความยืดหยุ่นและความคงทน
ความสามารถของ Remcos RAT
Remcos RAT เป็นเครื่องมืออันทรงพลังที่มอบความสามารถมากมายให้กับผู้โจมตี ช่วยให้สามารถควบคุมและใช้ประโยชน์จากระบบที่ติดไวรัสได้อย่างกว้างขวาง:
การยกระดับสิทธิพิเศษ
Remcos สามารถรับสิทธิ์ผู้ดูแลระบบบนระบบที่ติดไวรัส ทำให้สามารถ:
- ปิดใช้งานการควบคุมบัญชีผู้ใช้ (UAC)
- ดำเนินการฟังก์ชันที่เป็นอันตรายต่างๆ ด้วยสิทธิ์ระดับสูง
การหลบหลีกการป้องกัน
ด้วยการใช้การฉีดกระบวนการ Remcos จะฝังตัวอยู่ในกระบวนการที่ถูกต้อง ซึ่งทำให้ซอฟต์แวร์ป้องกันไวรัสตรวจจับได้ยาก นอกจากนี้ ความสามารถในการทำงานในพื้นหลังยังช่วยปกปิดไม่ให้ผู้ใช้เห็นอีกด้วย
การเก็บรวบรวมข้อมูล
Remcos เชี่ยวชาญในการรวบรวมข้อมูลที่หลากหลายจากระบบที่ติดไวรัส รวมถึง:
- การกดแป้นพิมพ์
- ภาพหน้าจอ
- การบันทึกเสียง
- เนื้อหาคลิปบอร์ด
- รหัสผ่านที่เก็บไว้
ผลกระทบของการติดเชื้อ Remcos RAT
ผลที่ตามมาของการติดเชื้อ Remcos มีความสำคัญและมีหลายแง่มุม ซึ่งส่งผลกระทบต่อทั้งผู้ใช้รายบุคคลและองค์กร:
- การครอบครองบัญชี
ด้วยการบันทึกการกดแป้นพิมพ์และขโมยรหัสผ่าน Remcos ช่วยให้ผู้โจมตีเข้ายึดบัญชีออนไลน์และระบบอื่นๆ ซึ่งอาจนำไปสู่การขโมยข้อมูลเพิ่มเติมและการเข้าถึงภายในเครือข่ายขององค์กรโดยไม่ได้รับอนุญาต - การโจรกรรมข้อมูล
Remcos สามารถกรองข้อมูลที่ละเอียดอ่อนออกจากระบบที่ติดไวรัสได้ ซึ่งอาจส่งผลให้เกิดการละเมิดข้อมูล ทั้งโดยตรงจากคอมพิวเตอร์ที่ถูกบุกรุกหรือจากระบบอื่นที่เข้าถึงโดยใช้ข้อมูลประจำตัวที่ถูกขโมย - การติดเชื้อที่ตามมา
การติดไวรัส Remcos สามารถทำหน้าที่เป็นช่องทางในการปรับใช้มัลแวร์รูปแบบต่างๆ เพิ่มเติมได้ สิ่งนี้จะเพิ่มความเสี่ยงของการโจมตีในภายหลัง เช่น การติดแรนซัมแวร์ ซึ่งจะทำให้ความเสียหายรุนแรงขึ้นอีก
การป้องกันมัลแวร์ Remcos
องค์กรสามารถนำกลยุทธ์และแนวทางปฏิบัติที่ดีที่สุดหลายประการมาใช้เพื่อป้องกันการติดเชื้อ Remcos:
การสแกนอีเมล
การใช้โซลูชันการสแกนอีเมลที่ระบุและบล็อกอีเมลที่น่าสงสัยสามารถป้องกันการส่ง Remcos ไปยังกล่องจดหมายของผู้ใช้ในครั้งแรกได้
การวิเคราะห์โดเมน
การตรวจสอบและวิเคราะห์บันทึกโดเมนที่ร้องขอโดยจุดสิ้นสุดสามารถช่วยระบุและบล็อกโดเมนใหม่หรือน่าสงสัยที่อาจเกี่ยวข้องกับ Remcos
การวิเคราะห์การรับส่งข้อมูลเครือข่าย
ตัวแปร Remcos ที่เข้ารหัสการรับส่งข้อมูลโดยใช้โปรโตคอลที่ไม่ได้มาตรฐานสามารถตรวจพบได้ผ่านการวิเคราะห์การรับส่งข้อมูลเครือข่าย ซึ่งสามารถระบุรูปแบบการรับส่งข้อมูลที่ผิดปกติเพื่อการตรวจสอบเพิ่มเติม
การรักษาความปลอดภัยปลายทาง
การปรับใช้โซลูชันการรักษาความปลอดภัยปลายทางที่มีความสามารถในการตรวจจับและแก้ไขการติดไวรัส Remcos ถือเป็นสิ่งสำคัญ โซลูชันเหล่านี้อาศัยตัวบ่งชี้การประนีประนอมที่กำหนดไว้เพื่อระบุและต่อต้านมัลแวร์
การใช้ประโยชน์จาก CrowdStrike Outage
ในเหตุการณ์ล่าสุด อาชญากรไซเบอร์ใช้ประโยชน์จากการหยุดทำงานของบริษัทรักษาความปลอดภัยทางไซเบอร์ CrowdStrike ทั่วโลกเพื่อแจกจ่าย Remcos RAT ผู้โจมตีกำหนดเป้าหมายลูกค้า CrowdStrike ในละตินอเมริกาโดยแจกจ่ายไฟล์ ZIP ชื่อ 'crowdstrike-hotfix.zip' ไฟล์นี้มีตัวโหลดมัลแวร์ Hijack Loader ซึ่งต่อมาได้เปิดตัวเพย์โหลด Remcos RAT
ไฟล์ ZIP รวมไฟล์ข้อความ ('instrucciones.txt') พร้อมคำแนะนำภาษาสเปน กระตุ้นให้เป้าหมายเรียกใช้ไฟล์ปฏิบัติการ ('setup.exe') เพื่อกู้คืนจากปัญหานี้โดยเจตนา การใช้ชื่อไฟล์ภาษาสเปนและคำแนะนำบ่งชี้ถึงแคมเปญที่กำหนดเป้าหมายซึ่งมุ่งเป้าไปที่ลูกค้า CrowdStrike ในละตินอเมริกา
บทสรุป
Remcos RAT เป็นมัลแวร์ที่ทรงพลังและใช้งานได้หลากหลายซึ่งก่อให้เกิดภัยคุกคามที่สำคัญต่อระบบ Windows ความสามารถในการหลบเลี่ยงการตรวจจับ รับสิทธิพิเศษระดับสูง และรวบรวมข้อมูลที่กว้างขวางทำให้เป็นเครื่องมือที่อาชญากรไซเบอร์ชื่นชอบ ด้วยการทำความเข้าใจวิธีการปรับใช้ ความสามารถ และผลกระทบ องค์กรต่างๆ จึงสามารถป้องกันซอฟต์แวร์ที่เป็นอันตรายนี้ได้ดีขึ้น การใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งและการเฝ้าระวังการโจมตีแบบฟิชชิ่งเป็นขั้นตอนสำคัญในการลดความเสี่ยงที่เกิดจาก Remcos RAT
SpyHunter ตรวจจับ & ลบ RemcosRAT
RemcosRAT วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
รายละเอียดระบบไฟล์
# | ชื่อไฟล์ | MD5 |
การตรวจจับ
การ ตรวจจับ: จำนวนกรณีที่ได้รับการยืนยันและสงสัยว่าเป็นภัยคุกคามที่ตรวจพบในคอมพิวเตอร์ที่ติดไวรัสตามที่ SpyHunter รายงาน
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
รายละเอียดรีจิสทรี
ไดเรกทอรี
RemcosRAT อาจสร้างไดเร็กทอรีหรือไดเร็กทอรีต่อไปนี้:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |