RemcosRAT

ดัชนีชี้วัดภัยคุกคาม

อันดับ: 4,425
ระดับภัยคุกคาม: 80 % (สูง)
คอมพิวเตอร์ที่ติดเชื้อ: 26,563
เห็นครั้งแรก: October 16, 2016
ครั้งสุดท้ายที่เจอ: August 5, 2024
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows

Remcos RAT (โทรจันการเข้าถึงระยะไกล) เป็นมัลแวร์ที่ซับซ้อนที่ออกแบบมาเพื่อแทรกซึมและควบคุมระบบปฏิบัติการ Windows พัฒนาและจำหน่ายโดยบริษัทเยอรมันชื่อ Breaking Security เป็นเครื่องมือควบคุมและเฝ้าระวังระยะไกลที่ถูกต้องตามกฎหมาย Remcos มักถูกอาชญากรไซเบอร์นำไปใช้ในทางที่ผิดบ่อยครั้งเพื่อจุดประสงค์ที่เป็นอันตราย บทความนี้เจาะลึกถึงคุณลักษณะ ความสามารถ ผลกระทบ และการป้องกันที่เกี่ยวข้องกับ Remcos RAT รวมถึงเหตุการณ์สำคัญล่าสุดที่เกี่ยวข้องกับการใช้งาน

วิธีการปรับใช้และการติดเชื้อ

การโจมตีแบบฟิชชิ่ง
โดยทั่วไป Remcos จะถูกกระจายผ่านการโจมตีแบบฟิชชิ่ง โดยที่ผู้ใช้ที่ไม่สงสัยจะถูกหลอกให้ดาวน์โหลดและเรียกใช้ไฟล์ที่เป็นอันตราย อีเมลฟิชชิ่งเหล่านี้มักประกอบด้วย:

ไฟล์ ZIP ที่เป็นอันตรายซึ่งปลอมแปลงเป็น PDF โดยอ้างว่าเป็นใบแจ้งหนี้หรือคำสั่งซื้อ
เอกสาร Microsoft Office พร้อมมาโครที่เป็นอันตรายฝังอยู่ซึ่งออกแบบมาเพื่อปรับใช้มัลแวร์เมื่อเปิดใช้งาน

เทคนิคการหลบหลีก
เพื่อหลบเลี่ยงการตรวจจับ Remcos ใช้เทคนิคขั้นสูง เช่น:

  • การฉีดกระบวนการหรือการกลวงกระบวนการ : วิธีนี้ช่วยให้ Remcos ดำเนินการภายในกระบวนการที่ถูกต้องตามกฎหมาย ดังนั้นจึงหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์ป้องกันไวรัส
  • กลไกการคงอยู่ : เมื่อติดตั้งแล้ว Remcos จะตรวจสอบให้แน่ใจว่ายังคงทำงานอยู่โดยใช้กลไกที่อนุญาตให้ทำงานในพื้นหลังซึ่งซ่อนไม่ให้ผู้ใช้เห็น

โครงสร้างพื้นฐานคำสั่งและการควบคุม (C2)

ความสามารถหลักของ Remcos คือฟังก์ชัน Command-and-Control (C2) มัลแวร์เข้ารหัสการรับส่งข้อมูลการสื่อสารระหว่างเส้นทางไปยังเซิร์ฟเวอร์ C2 ทำให้ยากสำหรับมาตรการรักษาความปลอดภัยเครือข่ายในการสกัดกั้นและวิเคราะห์ข้อมูล Remcos ใช้ Distributed DNS (DDNS) เพื่อสร้างหลายโดเมนสำหรับเซิร์ฟเวอร์ C2 เทคนิคนี้ช่วยให้มัลแวร์หลบเลี่ยงการป้องกันความปลอดภัยที่ต้องอาศัยการกรองการรับส่งข้อมูลไปยังโดเมนที่เป็นอันตรายซึ่งเพิ่มความยืดหยุ่นและความคงทน

ความสามารถของ Remcos RAT

Remcos RAT เป็นเครื่องมืออันทรงพลังที่มอบความสามารถมากมายให้กับผู้โจมตี ช่วยให้สามารถควบคุมและใช้ประโยชน์จากระบบที่ติดไวรัสได้อย่างกว้างขวาง:

การยกระดับสิทธิพิเศษ
Remcos สามารถรับสิทธิ์ผู้ดูแลระบบบนระบบที่ติดไวรัส ทำให้สามารถ:

  • ปิดใช้งานการควบคุมบัญชีผู้ใช้ (UAC)
  • ดำเนินการฟังก์ชันที่เป็นอันตรายต่างๆ ด้วยสิทธิ์ระดับสูง

การหลบหลีกการป้องกัน
ด้วยการใช้การฉีดกระบวนการ Remcos จะฝังตัวอยู่ในกระบวนการที่ถูกต้อง ซึ่งทำให้ซอฟต์แวร์ป้องกันไวรัสตรวจจับได้ยาก นอกจากนี้ ความสามารถในการทำงานในพื้นหลังยังช่วยปกปิดไม่ให้ผู้ใช้เห็นอีกด้วย

การเก็บรวบรวมข้อมูล

Remcos เชี่ยวชาญในการรวบรวมข้อมูลที่หลากหลายจากระบบที่ติดไวรัส รวมถึง:

  • การกดแป้นพิมพ์
  • ภาพหน้าจอ
  • การบันทึกเสียง
  • เนื้อหาคลิปบอร์ด
  • รหัสผ่านที่เก็บไว้

ผลกระทบของการติดเชื้อ Remcos RAT

ผลที่ตามมาของการติดเชื้อ Remcos มีความสำคัญและมีหลายแง่มุม ซึ่งส่งผลกระทบต่อทั้งผู้ใช้รายบุคคลและองค์กร:

  • การครอบครองบัญชี
    ด้วยการบันทึกการกดแป้นพิมพ์และขโมยรหัสผ่าน Remcos ช่วยให้ผู้โจมตีเข้ายึดบัญชีออนไลน์และระบบอื่นๆ ซึ่งอาจนำไปสู่การขโมยข้อมูลเพิ่มเติมและการเข้าถึงภายในเครือข่ายขององค์กรโดยไม่ได้รับอนุญาต
  • การโจรกรรมข้อมูล
    Remcos สามารถกรองข้อมูลที่ละเอียดอ่อนออกจากระบบที่ติดไวรัสได้ ซึ่งอาจส่งผลให้เกิดการละเมิดข้อมูล ทั้งโดยตรงจากคอมพิวเตอร์ที่ถูกบุกรุกหรือจากระบบอื่นที่เข้าถึงโดยใช้ข้อมูลประจำตัวที่ถูกขโมย
  • การติดเชื้อที่ตามมา
    การติดไวรัส Remcos สามารถทำหน้าที่เป็นช่องทางในการปรับใช้มัลแวร์รูปแบบต่างๆ เพิ่มเติมได้ สิ่งนี้จะเพิ่มความเสี่ยงของการโจมตีในภายหลัง เช่น การติดแรนซัมแวร์ ซึ่งจะทำให้ความเสียหายรุนแรงขึ้นอีก

การป้องกันมัลแวร์ Remcos

องค์กรสามารถนำกลยุทธ์และแนวทางปฏิบัติที่ดีที่สุดหลายประการมาใช้เพื่อป้องกันการติดเชื้อ Remcos:

การสแกนอีเมล
การใช้โซลูชันการสแกนอีเมลที่ระบุและบล็อกอีเมลที่น่าสงสัยสามารถป้องกันการส่ง Remcos ไปยังกล่องจดหมายของผู้ใช้ในครั้งแรกได้

การวิเคราะห์โดเมน
การตรวจสอบและวิเคราะห์บันทึกโดเมนที่ร้องขอโดยจุดสิ้นสุดสามารถช่วยระบุและบล็อกโดเมนใหม่หรือน่าสงสัยที่อาจเกี่ยวข้องกับ Remcos

การวิเคราะห์การรับส่งข้อมูลเครือข่าย
ตัวแปร Remcos ที่เข้ารหัสการรับส่งข้อมูลโดยใช้โปรโตคอลที่ไม่ได้มาตรฐานสามารถตรวจพบได้ผ่านการวิเคราะห์การรับส่งข้อมูลเครือข่าย ซึ่งสามารถระบุรูปแบบการรับส่งข้อมูลที่ผิดปกติเพื่อการตรวจสอบเพิ่มเติม

การรักษาความปลอดภัยปลายทาง
การปรับใช้โซลูชันการรักษาความปลอดภัยปลายทางที่มีความสามารถในการตรวจจับและแก้ไขการติดไวรัส Remcos ถือเป็นสิ่งสำคัญ โซลูชันเหล่านี้อาศัยตัวบ่งชี้การประนีประนอมที่กำหนดไว้เพื่อระบุและต่อต้านมัลแวร์

การใช้ประโยชน์จาก CrowdStrike Outage

ในเหตุการณ์ล่าสุด อาชญากรไซเบอร์ใช้ประโยชน์จากการหยุดทำงานของบริษัทรักษาความปลอดภัยทางไซเบอร์ CrowdStrike ทั่วโลกเพื่อแจกจ่าย Remcos RAT ผู้โจมตีกำหนดเป้าหมายลูกค้า CrowdStrike ในละตินอเมริกาโดยแจกจ่ายไฟล์ ZIP ชื่อ 'crowdstrike-hotfix.zip' ไฟล์นี้มีตัวโหลดมัลแวร์ Hijack Loader ซึ่งต่อมาได้เปิดตัวเพย์โหลด Remcos RAT

ไฟล์ ZIP รวมไฟล์ข้อความ ('instrucciones.txt') พร้อมคำแนะนำภาษาสเปน กระตุ้นให้เป้าหมายเรียกใช้ไฟล์ปฏิบัติการ ('setup.exe') เพื่อกู้คืนจากปัญหานี้โดยเจตนา การใช้ชื่อไฟล์ภาษาสเปนและคำแนะนำบ่งชี้ถึงแคมเปญที่กำหนดเป้าหมายซึ่งมุ่งเป้าไปที่ลูกค้า CrowdStrike ในละตินอเมริกา

บทสรุป

Remcos RAT เป็นมัลแวร์ที่ทรงพลังและใช้งานได้หลากหลายซึ่งก่อให้เกิดภัยคุกคามที่สำคัญต่อระบบ Windows ความสามารถในการหลบเลี่ยงการตรวจจับ รับสิทธิพิเศษระดับสูง และรวบรวมข้อมูลที่กว้างขวางทำให้เป็นเครื่องมือที่อาชญากรไซเบอร์ชื่นชอบ ด้วยการทำความเข้าใจวิธีการปรับใช้ ความสามารถ และผลกระทบ องค์กรต่างๆ จึงสามารถป้องกันซอฟต์แวร์ที่เป็นอันตรายนี้ได้ดีขึ้น การใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งและการเฝ้าระวังการโจมตีแบบฟิชชิ่งเป็นขั้นตอนสำคัญในการลดความเสี่ยงที่เกิดจาก Remcos RAT

SpyHunter ตรวจจับ & ลบ RemcosRAT

RemcosRAT วิดีโอ

เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ

รายละเอียดระบบไฟล์

RemcosRAT อาจสร้างไฟล์ต่อไปนี้:
# ชื่อไฟล์ MD5 การตรวจจับ
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

รายละเอียดรีจิสทรี

RemcosRAT อาจสร้างรายการรีจิสตรีหรือรายการรีจิสตรีต่อไปนี้:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

ไดเรกทอรี

RemcosRAT อาจสร้างไดเร็กทอรีหรือไดเร็กทอรีต่อไปนี้:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...