RemcosRAT

Remcos RAT (trojanec za oddaljeni dostop) je sofisticirana zlonamerna programska oprema, namenjena infiltraciji in nadzoru operacijskih sistemov Windows. Remcos, ki ga je razvilo in prodaja nemško podjetje z imenom Breaking Security kot legitimno orodje za daljinsko upravljanje in nadzor, kibernetski kriminalci pogosto zlorabljajo za zlonamerne namene. Ta članek obravnava značilnosti, zmožnosti, vplive in obrambo v zvezi z Remcos RAT, kot tudi nedavne opazne incidente, ki vključujejo njegovo uvedbo.

Metode uvajanja in okužbe

Lažni napadi
Remcos se običajno distribuira z napadi lažnega predstavljanja, pri katerih so nič hudega sluteči uporabniki zavedeni v prenos in izvajanje zlonamernih datotek. Ta lažna e-poštna sporočila pogosto vsebujejo:

Zlonamerne datoteke ZIP, prikrite kot PDF-ji, ki trdijo, da so računi ali naročila.
Dokumenti Microsoft Office z vdelanimi zlonamernimi makri, ki so zasnovani za namestitev zlonamerne programske opreme po aktivaciji.

Tehnike utaje
Da bi se izognil odkrivanju, Remcos uporablja napredne tehnike, kot so:

• Process Injection ali Process Hollowing : Ta metoda Remcosu omogoča izvajanje znotraj zakonitega procesa, s čimer se izogne odkrivanju protivirusne programske opreme.
• Mehanizmi vztrajnosti : Ko je nameščen, Remcos zagotavlja, da ostane aktiven z uporabo mehanizmov, ki mu omogočajo delovanje v ozadju, skrito pred uporabnikom.

Infrastruktura za poveljevanje in nadzor (C2).

Glavna zmogljivost Remcosa je njegova funkcija ukazovanja in nadzora (C2). Zlonamerna programska oprema šifrira svoj komunikacijski promet na poti do strežnika C2, kar omrežnim varnostnim ukrepom oteži prestrezanje in analizo podatkov. Remcos uporablja porazdeljeni DNS (DDNS) za ustvarjanje več domen za svoje strežnike C2. Ta tehnika pomaga zlonamerni programski opremi, da se izogne varnostnim zaščitam, ki se zanašajo na filtriranje prometa do znanih zlonamernih domen, s čimer poveča njeno odpornost in obstojnost.

Zmogljivosti Remcos RAT

Remcos RAT je zmogljivo orodje, ki napadalcem ponuja številne zmožnosti, ki omogočajo obsežen nadzor in izkoriščanje okuženih sistemov:

Privilege Elevation
Remcos lahko pridobi skrbniška dovoljenja za okuženi sistem, kar mu omogoča:

• Onemogoči nadzor uporabniškega računa (UAC).
• Izvajajte različne zlonamerne funkcije s povišanimi privilegiji.

Izmikanje obrambi
Z uporabo vbrizgavanja procesov se Remcos vgradi v zakonite procese, zaradi česar je protivirusni program težko zaznati. Poleg tega njegova zmožnost delovanja v ozadju dodatno prikrije svojo prisotnost pred uporabniki.

Zbiranje podatkov

Remcos je spreten pri zbiranju številnih podatkov iz okuženega sistema, vključno z:

• Pritiski tipk
• Posnetki zaslona
• Zvočni posnetki
• Vsebina odložišča
• Shranjena gesla

Vpliv okužbe s podganami Remcos

Posledice okužbe z Remcosom so pomembne in večplastne ter prizadenejo tako posamezne uporabnike kot organizacije:

• Prevzem računa
  Z beleženjem pritiskov na tipke in krajo gesel Remcos napadalcem omogoča prevzem spletnih računov in drugih sistemov, kar lahko povzroči nadaljnjo krajo podatkov in nepooblaščen dostop znotraj omrežja organizacije.
• Kraja podatkov
  Remcos je sposoben izločiti občutljive podatke iz okuženega sistema. To lahko povzroči kršitve podatkov, bodisi neposredno iz ogroženega računalnika bodisi iz drugih sistemov, do katerih se dostopa z ukradenimi poverilnicami.
• Naknadne okužbe
  Okužba z Remcos lahko služi kot prehod za uvajanje dodatnih različic zlonamerne programske opreme. To poveča tveganje poznejših napadov, kot so okužbe z izsiljevalsko programsko opremo, kar še poveča škodo.

Zaščita pred zlonamerno programsko opremo Remcos

Organizacije lahko sprejmejo več strategij in najboljših praks za zaščito pred okužbami z zdravilom Remcos:

Skeniranje e-pošte
Implementacija rešitev za skeniranje e-pošte, ki prepoznajo in blokirajo sumljiva e-poštna sporočila, lahko prepreči prvotno dostavo Remcosa v nabiralnike uporabnikov.

Analiza domene
Spremljanje in analiziranje zapisov domen, ki jih zahtevajo končne točke, lahko pomaga prepoznati in blokirati mlade ali sumljive domene, ki so lahko povezane z Remcosom.

Analiza omrežnega prometa
Različice Remcos, ki šifrirajo svoj promet z uporabo nestandardnih protokolov, je mogoče odkriti z analizo omrežnega prometa, ki lahko označi nenavadne vzorce prometa za nadaljnjo preiskavo.

Varnost končne točke
Uvajanje varnostnih rešitev za končne točke z zmožnostjo odkrivanja in odpravljanja okužb Remcos je ključnega pomena. Te rešitve se za prepoznavanje in nevtralizacijo zlonamerne programske opreme opirajo na uveljavljene indikatorje ogroženosti.

Izkoriščanje izpada CrowdStrike

V nedavnem incidentu so kibernetski kriminalci izkoristili svetovni izpad podjetja za kibernetsko varnost CrowdStrike za distribucijo Remcos RAT. Napadalci so ciljali na stranke CrowdStrike v Latinski Ameriki z distribucijo arhivske datoteke ZIP z imenom 'crowdstrike-hotfix.zip.' Ta datoteka je vsebovala nalagalnik zlonamerne programske opreme, Hijack Loader, ki je nato zagnal tovor Remcos RAT.

Arhiv ZIP je vseboval besedilno datoteko ('instrucciones.txt') z navodili v španskem jeziku, ki je pozivala tarče, naj zaženejo izvedljivo datoteko ('setup.exe'), da bi domnevno obnovili težavo. Uporaba španskih imen datotek in navodil kaže na ciljno usmerjeno kampanjo, namenjeno strankam CrowdStrike iz Latinske Amerike.

Zaključek

Remcos RAT je močna in vsestranska zlonamerna programska oprema, ki predstavlja veliko nevarnost za sisteme Windows. Zaradi svoje zmožnosti izogibanja odkrivanju, pridobivanja višjih privilegijev in zbiranja obsežnih podatkov je priljubljeno orodje med kibernetskimi kriminalci. Z razumevanjem njenih metod uvajanja, zmogljivosti in učinkov se lahko organizacije bolje branijo pred to zlonamerno programsko opremo. Izvajanje robustnih varnostnih ukrepov in budnost pred napadi z lažnim predstavljanjem sta ključna koraka pri zmanjševanju tveganja, ki ga predstavlja Remcos RAT.

SpyHunter zazna in odstrani RemcosRAT

RemcosRAT Video

Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.