RemcosRAT

Картка показників загроз

Рейтинг: 4,425
Рівень загрози: 80 % (Високий)
Заражені комп’ютери: 26,563
Вперше побачили: October 16, 2016
Востаннє бачили: August 5, 2024
ОС (ОС), які постраждали: Windows

Remcos RAT (троян віддаленого доступу) — це складне зловмисне програмне забезпечення, призначене для проникнення та контролю операційних систем Windows. Розроблений і проданий німецькою компанією під назвою Breaking Security як законний інструмент дистанційного керування та спостереження, Remcos часто зловживають кіберзлочинцями в зловмисних цілях. У цій статті розглядаються характеристики, можливості, вплив і засоби захисту, пов’язані з Remcos RAT, а також нещодавні помітні інциденти, пов’язані з його розгортанням.

Методи розгортання та зараження

Фішингові атаки
Remcos зазвичай поширюється через фішингові атаки, під час яких нічого не підозрюють користувачів обманом змушують завантажити та запустити шкідливі файли. Ці фішингові листи часто містять:

Шкідливі ZIP-файли, замасковані під PDF-файли, що видаються за рахунки-фактури чи замовлення.
Документи Microsoft Office із вбудованими шкідливими макросами, призначеними для розгортання зловмисного програмного забезпечення після активації.

Методи ухилення
Щоб уникнути виявлення, Remcos використовує передові методи, такі як:

  • Процес ін’єкції або процес Hollowing : цей метод дозволяє Remcos виконувати в рамках законного процесу, таким чином уникаючи виявлення антивірусним програмним забезпеченням.
  • Механізми постійності : після встановлення Remcos гарантує, що він залишається активним, використовуючи механізми, які дозволяють працювати у фоновому режимі, приховано від користувача.

Командно-контрольна (C2) інфраструктура

Основною можливістю Remcos є його функція командування та керування (C2). Зловмисне програмне забезпечення шифрує свій комунікаційний трафік на шляху до сервера C2, ускладнюючи заходи безпеки мережі для перехоплення та аналізу даних. Remcos використовує розподілений DNS (DDNS) для створення кількох доменів для своїх серверів C2. Ця техніка допомагає зловмисному програмному забезпеченню уникнути засобів захисту, які покладаються на фільтрацію трафіку до відомих шкідливих доменів, підвищуючи його стійкість і наполегливість.

Можливості Remcos RAT

Remcos RAT — це потужний інструмент, який надає зловмисникам численні можливості, забезпечуючи широкий контроль і використання заражених систем:

Висота привілеїв
Remcos може отримати права адміністратора в зараженій системі, що дозволяє:

  • Вимкніть контроль облікових записів користувачів (UAC).
  • Виконуйте різноманітні шкідливі функції з підвищеними привілеями.

Ухилення від захисту
Використовуючи впровадження процесу, Remcos вбудовує себе в законні процеси, що ускладнює виявлення антивірусним програмним забезпеченням. Крім того, його здатність працювати у фоновому режимі ще більше приховує його присутність від користувачів.

Збір даних

Remcos вміє збирати широкий спектр даних із зараженої системи, зокрема:

  • натискання клавіш
  • Скріншоти
  • Аудіозаписи
  • Вміст буфера обміну
  • Збережені паролі

Вплив зараження Remcos RAT

Наслідки зараження Remcos значні та багатогранні, впливаючи як на окремих користувачів, так і на організації:

  • Захоплення облікового запису
    Реєструючи натискання клавіш і викрадаючи паролі, Remcos дозволяє зловмисникам заволодіти онлайн-акаунтами та іншими системами, що потенційно може призвести до подальшої крадіжки даних і несанкціонованого доступу до мережі організації.
  • Крадіжка даних
    Remcos здатний вилучати конфіденційні дані із зараженої системи. Це може призвести до витоку даних безпосередньо з скомпрометованого комп’ютера або з інших систем, доступ до яких здійснюється за допомогою викрадених облікових даних.
  • Подальші інфекції
    Зараження Remcos може служити шлюзом для розгортання додаткових варіантів шкідливого програмного забезпечення. Це збільшує ризик наступних атак, наприклад зараження програмами-вимагачами, що ще більше посилює шкоду.

Захист від шкідливих програм Remcos

Організації можуть прийняти кілька стратегій і найкращих практик для захисту від інфекцій Remcos:

Сканування електронної пошти
Впровадження рішень для сканування електронної пошти, які ідентифікують і блокують підозрілі електронні листи, може запобігти первинній доставці Remcos до вхідних повідомлень користувачів.

Аналіз домену
Моніторинг і аналіз записів домену, запитуваних кінцевими точками, можуть допомогти виявити та заблокувати молоді або підозрілі домени, які можуть бути пов’язані з Remcos.

Аналіз мережевого трафіку
Варіанти Remcos, які шифрують свій трафік за допомогою нестандартних протоколів, можна виявити за допомогою аналізу мережевого трафіку, який може позначати незвичні шаблони трафіку для подальшого дослідження.

Безпека кінцевої точки
Розгортання рішень безпеки кінцевих точок із можливістю виявлення та усунення інфекцій Remcos має вирішальне значення. Ці рішення покладаються на встановлені індикатори компрометації для виявлення та нейтралізації зловмисного програмного забезпечення.

Використання CrowdStrike Outage

Під час нещодавнього інциденту кіберзлочинці скористалися всесвітнім збоєм у роботі фірми з кібербезпеки CrowdStrike, щоб розповсюдити Remcos RAT. Зловмисники атакували клієнтів CrowdStrike у Латинській Америці, розповсюджуючи архівний файл ZIP під назвою "crowdstrike-hotfix.zip". Цей файл містив завантажувач шкідливих програм Hijack Loader, який згодом запускав корисне навантаження Remcos RAT.

ZIP-архів містив текстовий файл ("instrucciones.txt") з іспаномовними інструкціями, які закликали цільові програми запустити виконуваний файл ("setup.exe"), щоб нібито відновити проблему. Використання іспанських назв файлів та інструкцій вказує на цільову кампанію, націлену на клієнтів CrowdStrike з Латинської Америки.

Висновок

Remcos RAT — це потужна та універсальна шкідлива програма, яка становить серйозну загрозу для систем Windows. Його здатність уникати виявлення, отримувати підвищені привілеї та збирати велику кількість даних робить його улюбленим інструментом серед кіберзлочинців. Розуміючи методи його розгортання, можливості та вплив, організації можуть краще захиститися від цього шкідливого програмного забезпечення. Впровадження надійних заходів безпеки та пильність проти фішингових атак є ключовими кроками для зменшення ризику, який створює Remcos RAT.

SpyHunter виявляє та видаляє RemcosRAT

RemcosRAT Відео

Порада. Увімкніть звук і дивіться відео в повноекранному режимі .

Деталі файлової системи

RemcosRAT може створити такі файли:
# Ім'я файлу MD5 Виявлення
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Деталі реєстру

RemcosRAT може створити такий запис або записи реєстру:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Довідники

RemcosRAT може створити наступний каталог або каталоги:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

В тренді

Найбільше переглянуті

Завантаження...