Remcos RAT Phishing-Kampagne: Eine aktualisierte Infektionskette

[post-views]
April 12, 2022 · 3 min zu lesen
Remcos RAT Phishing-Kampagne: Eine aktualisierte Infektionskette

Eine neue Welle von Phishing, die Remcos RAT-Payload bereitstellt, wurde beobachtet von Sicherheitsforschern. Remcos ist ein kommerzieller Remote-Administrationstrojaner, der von der Firma Breaking Security entwickelt wurde und kostenlos von deren Website zugänglich ist. Laut der Quelle, die dieses Tool entwickelt hat, ist Remcos in der Lage, ganze Ordner mit einem Klick herunterzuladen, eine Reihe von Dateimanager-Funktionen zu nutzen, einen Keylogger zu verwenden und eine Verbindung zu einem C&C-Server herzustellen. Es sei erwähnt, dass Remcos RAT kontinuierlich verbessert wird. Die neuesten Updates wurden am 1. April 2022 veröffentlicht.

Die oben genannte Funktionalität ermöglicht es Angreifern, Persistenz aufrechtzuerhalten, Aufklärung durchzuführen (mit Audioaufnahmen und Screenshots), sensible Informationen zu stehlen und die Kontrolle über die infizierten Maschinen zu erlangen, ohne sichtbare Änderungen im Betrieb, und somit unbemerkt vom Benutzer.

Die laufende Kampagne ist finanziell ausgerichtet und imitiert Überweisungsbenachrichtigungen von legitimen Institutionen, wie FIS Global, Wells Fargo und ACH Payment. Entdecken Sie die Möglichkeiten unserer Erkennungsinhalte für SIEM-, EDR- & XDR-Lösungen, die Ihnen helfen werden, die neuesten Aktivitäten des Remcos RAT-Trojaners in Ihrer Infrastruktur zu erkennen.

Remcos Trojaner-Infektion: Wie erkennen?

Setzen Sie die neuesten Sigma-basierten Erkennungsregeln ein, die von unserem Threat Bounty-Entwickler Aytek Aytemur erstellt wurden, um das neueste Verhalten von Remcos RAT zu erkennen.

Verdächtige Remcos-Malware-Ausführung durch PowerShell, die mehrstufige Downloader ausführt (via ps_script)

Diese Erkennung ist für die folgenden SIEM-, EDR- & XDR-Formate verfügbar: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt und befasst sich mit der Ausführungstaktik und der Benutzer-Ausführungstechnik (T1204).

Remcos RAT ist schon seit einiger Zeit im Umlauf, weshalb viele Anzeichen seiner Aktivität bereits erkannt werden können. Tauchen Sie in unsere umfassende Liste von Sigma-basierten Regeln im Zusammenhang mit Remcos-Angriffen ein, um sich eines breiteren Spektrums an Aktivitäten bewusst zu werden, die diese Malware ausführen kann. Auch wenn Sie Ihre eigenen Erkennungen schreiben, werfen Sie einen Blick auf unsere Crowdsourcing-Initiative, die es Ihnen ermöglicht, durch die Sicherung der Cyberwelt Geld zu verdienen.

Erkennungen anzeigen Threat Bounty beitreten

Analyse von Remcos-Spam-Kampagnen

Die typische Angriffskette beginnt mit dem Senden einer infizierten XLS-Datei über eine Phishing-E-Mail. Um die Erkennung zu umgehen, versehen die Gegner diese Datei mit einem Passwortschutz. Sobald ein Opfer sie öffnet und Makros aktiviert, ermöglicht der bösartige XML-Code die Ausführung der Remcos-Binärparameter.

Durch eine Reihe von PowerShell-Befehlen wird die Erstellung und Ausführung einer neuen VBS-Datei ermöglicht. Die Kette geht weiter, da letzteres einen weiteren ähnlichen Befehl ausführt, der die nächste Datei von einem bösartigen C&C-Server herunterlädt, speichert und ausführt. Diese Datei verbindet sich erneut mit dem Server und liefert einen verschlüsselten Cmdlet-Befehl, der die gesamte Sequenz von Aktionen basierend auf einem .NET-Objekt lädt und entschlüsselt und am Ende dieser Sequenz das endgültige RAT liefert.

Infolgedessen kommen Forscher zu dem Schluss, dass die endgültige Komponente von Remcos RAT durch eine komplexe Kette von Infektionsstufen geliefert wird, die weitgehend von ihrer Verbindung mit dem C2-Server abhängen, auf dem alle notwendigen Dateien gespeichert sind. Wie Sie sehen können, sind in den Malware-Strains verschlüsselte Informationen und Codes speziell entwickelt, um die vorhandenen Sicherheitskontrollen zu umgehen. Mit den neuesten Erkennungsinhalten ist es jedoch möglich, modernen, ausgeklügelten Angriffen einen Schritt voraus zu sein. Nutzen Sie die Macht der kollaborativen Verteidigung, indem Sie unserer SOC Prime Detection as Code Plattform beitreten, auf der weltweit anerkannte Sicherheitsspezialisten zusammenkommen, um kontinuierlich hochwertige Cyber-Erkennungen zu erstellen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten