Erkennung neuer Remcos RAT-Aktivitäten: Phishing-Kampagne verbreitet eine neuartige fileless Malware-Variante
Inhaltsverzeichnis:
Cybersecurity-Forscher haben eine laufende In-the-Wild-Angriffskampagne identifiziert, die eine bekannte RCE-Schwachstelle in Microsoft Office ausnutzt, die als CVE-2017-0199 verfolgt wird und von einer bösartigen Excel-Datei ausgenutzt wird, die als Köder-Anhang in Phishing-E-Mails verwendet wird. Die Phishing-Kampagne soll eine neue dateilose Version des berüchtigten Remcos RAT -Malware verteilen und die vollständige Fernsteuerung eines Zielsystems übernehmen.
Remcos RAT erkennen
Phishing bleibt ein führender Angriffsvektor und zeigt einen Anstieg der Phishing-Angriffe um 58,2 % im Jahr 2023 im Vergleich zum Vorjahr und hebt die zunehmende Raffinesse und Reichweite von Bedrohungsakteuren hervor. Die neuartige dateilose Version von Remcos RAT, die über Phishing-E-Mails verbreitet wird, birgt wachsende Risiken für Windows-Nutzer, indem sie es Angreifern ermöglicht, die vollständige Fernsteuerung über ein kompromittiertes Gerät zu erlangen, sensible Daten zu stehlen und weitere offensive Operationen durchzuführen. Die SOC Prime Plattform für kollektive Cyberabwehr kuratiert eine vollständige Sammlung von Erkennungsalgorithmen, um Sicherheitsteams proaktiv gegen Phishing-Angriffe zu verteidigen, die Remcos RAT nutzen.
Drücken Erkennungen erkunden , um relevante Erkennungen zu erreichen, die mit MITRE ATT&CK®abgebildet sind, maßgeschneiderte CTI für eine optimierte Bedrohungsermittlung zu erkunden und den Code in automatisierter Form in über 30 unterstützte SIEM-, EDR- oder Data Lake-Sprachen zu konvertieren. Verwenden Sie die Light Search, um über 12.000 maßgeschneiderte Datenlabels innerhalb von SOC Primes lokal gehosteter Cloud abzufragen und dabei vollständig transparenten, privaten Zugang zu Daten sowie ultraschnelle Geschwindigkeit für eine optimierte Sucherfahrung zu gewährleisten.
Remcos RAT Analyse
Fortinets FortiGuard Labs hat kürzlich eine Phishing-Kampagne aufgedeckt, die auf Windows-Nutzer abzielt und eine neue dateilose Remcos RAT-Malware-Iteration verbreitet.
Remcos RAT ist kommerzielle Malware, die Käufern eine Reihe fortschrittlicher Werkzeuge zur Fernverwaltung von Computern unter ihrer Kontrolle bietet. Cyberkriminelle haben Remcos jedoch genutzt, um sensible Informationen von Opfern zu stehlen und deren Systeme für böswillige Zwecke zu manipulieren. Remcos RAT wurde auch in Phishing-Kampagnen von der von Russland unterstützten Hackergruppe UAC-0050eingesetzt, die hauptsächlich auf ukrainische Staatsorgane abzielt. Beispielsweise hat UAC-0050 mindestens 30 Versuche unternommen , um die Computer von Buchhaltern mithilfe der REMCOS-Malware zu kompromittieren.
Der Infektionsfluss wird durch eine Phishing-E-Mail ausgelöst, die eine angehängte Microsoft Excel-Köderdatei enthält, die sich als auftragsbezogenes Dokument ausgibt. Letztere nutzt eine bekannte RCE-Schwachstelle in Microsoft Office (CVE-2017-0199) aus, um eine HTA-Datei namens „cookienetbookinetcahce.hta“ von einem Remote-Server abzurufen. Die HTA-Datei wird weiter auf dem kompromittierten Gerät unter Verwendung des Windows-eigenen Dienstprogramms mshta.exe ausgeführt. Bemerkenswerterweise ist der Code der HTA-Datei durch mehrere Schichten unter Verwendung verschiedener Skriptsprachen und Codierungstechniken verschleiert, um Erkennung zu vermeiden und Anti-Malware-Analysen zu behindern.
Das Binärprogramm führt ein verschleiertes PowerShell-Skript aus und verwendet Anti-Analyse- und Anti-Debugging-Techniken, um einer Erkennung zu entgehen. Angreifer verwenden eine Vielzahl von Erkennungsevasionstechniken, wie einen vektorbasierten Ausnahmehandler, dynamisch erhaltene APIs, berechnete konstante Werte und API-Hooking.
Sobald die Anti-Analyse-Verteidigungen umgangen sind, verwendet die Malware das Verfahren des Process Hollowing, um bösartigen Code direkt im Speicher auszuführen, innerhalb eines neuen Prozesses namens „Vaccinerende.exe,“ was das neue Remcos RAT zu einer dateilosen Variante macht.
Remcos RAT sammelt Systemmetadaten und führt Befehle aus, die von seinem C2-Server empfangen werden. Dazu gehören das Stehlen von Dateien, Beenden von Prozessen, Verwalten von Systemdiensten, Ändern der Windows-Registry, Ausführen von Skripten, Erfassen von Clipboard-Daten, Zugriff auf Kamera und Mikrofon, Herunterladen von Nutzlasten, Aufzeichnen des Bildschirms und Deaktivieren von Tastatur- oder Maus-Eingaben. Der bösartige Code ändert die Systemregistrierung, um einen neuen Autostart-Eintrag zu erstellen und so die Persistenz aufrechtzuerhalten und die Kontrolle über das Gerät des Opfers auch nach einem Neustart zu behalten.
Die neue dateilose Variante von Remcos RAT, kombiniert mit mehreren Erkennungsevasionstechniken, macht es Verteidigern schwerer, die bösartige Aktivität schnell zu identifizieren. Durch die Nutzung von SOC Primes vollständigem Produktangebot für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung können Sicherheitsteams auf Spitzentechnologie für eine proaktive Verteidigung zugreifen und zugleich eine robuste Cyber-Sicherheitsarchitektur zur Gewährleistung eines sicheren Morgen aufbauen.
