Bedrohungsjagd Inhalte: Remcos RAT COVID19-Kampagnen

Remcos RAT wurde erstmals 2016 entdeckt. Jetzt gibt es vor, ein legitimes Fernzugriffstool zu sein, aber es wurde in mehreren globalen Hacker-Kampagnen eingesetzt. Auf verschiedenen Websites und Foren werben, verkaufen und bieten Cyberkriminelle die geknackte Version dieser Malware an. Seit dem Ende Februar, haben Sicherheitsforscher mehrere Kampagnen entdeckt, die den Remcos Trojaner verteilen und das COVID-19-Thema in Phishing-E-Mails ausnutzen. 

Vor ein paar Wochen, wurde eine weitere Kampagne bekannt, die sich gegen ein kleines Unternehmen in den Vereinigten Staaten richtete: Angreifer fälschten die E-Mail der U.S. Small Business Administration, um sicherzustellen, dass ihre Opfer den bösartigen Anhang öffnen und eine mehrstufige Ausführung starten, beginnend mit dem GuLoader-Downloader, um den Trojaner zu liefern. Remcos kann verwendet werden, um seine Opfer auszuspionieren, Anmeldedaten zu sammeln, Dateien zu exfiltrieren und Befehle auszuführen. 

Threat-Hunting-Regel von Osman Demir ermöglicht es Ihrer Sicherheitslösung, neue Instanzen dieses Remote Access Trojan zu erkennen: https://tdm.socprime.com/tdm/info/VTPq73Wr1ZQs/oSF1DXIBjwDfaYjK0HeG/?p=1

Bedrohungserkennung wird für die folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung

Techniken: Benutzerausführung (T1204)

YARA-Regeln von Osman Demir zur Aufdeckung des RAT: https://tdm.socprime.com/tdm/info/Eh7mpdZYLttx/fCFbDXIBjwDfaYjK9Hc9/

Mehr Inhalte von Emir Erdogan in Zusammenhang mit dem Trojaner und aktuellen Kampagnen:

Remcos RAT Backdoor-Erkennung – https://tdm.socprime.com/tdm/info/0pEIgeXQQ8qJ/HCDcP3EBjwDfaYjKheK0/

Remcos RAT heruntergeladen über Internet Explorer – https://tdm.socprime.com/tdm/info/SbAfC5odSp8V/-4uRpnEB1-hfOQir2dtY/

GuLoader lädt REMCOS und PARALLAX RAT herunter – https://tdm.socprime.com/tdm/info/neIOio4uZ1xB/euYsT3EBv8lhbg_i7yo4/

Remcos Remote Access Tool (RAT) – YARA-Regeln – https://tdm.socprime.com/tdm/info/sDp8qxV1mDn1/g8KVz20BEiSx7l0HEpF8/