Nouvelle détection d’activité de Remcos RAT : campagne de phishing diffusant une nouvelle variante de malware sans fichier
Table des matières :
Des chercheurs en cybersécurité ont identifié une campagne d’adversaires en cours dans la nature, qui exploite une vulnérabilité RCE connue de Microsoft Office suivie sous le nom de CVE-2017-0199, exploitée par un fichier Excel malveillant utilisé comme pièce jointe leurre dans des e-mails de phishing. La campagne de phishing est conçue pour diffuser une nouvelle version sans fichier du tristement célèbre Remcos RAT maliciel et prendre le contrôle total à distance d’un système ciblé.
Détecter Remcos RAT
Le phishing continue d’être un vecteur d’attaque principal, affichant une augmentation de 58,2% des attaques de phishing en 2023 par rapport à l’année précédente, soulignant la sophistication croissante et la portée des acteurs de la menace. La nouvelle version sans fichier de Remcos RAT diffusée via des e-mails de phishing pose des risques croissants aux utilisateurs de Windows en permettant aux adversaires de prendre le contrôle total à distance d’un appareil compromis, de voler des données sensibles et d’effectuer d’autres opérations offensives. La plateforme SOC Prime pour la défense cyber collective propose une collection complète d’algorithmes de détection pour aider les équipes de sécurité à se défendre de manière proactive contre les attaques de phishing exploitant Remcos RAT.
Appuyez Explorer les Détections pour accéder aux détections pertinentes mappées à MITRE ATT&CK®, explorer des CTI adaptées pour une enquête sur la menace simplifiée, et convertir le code de manière automatique en plus de 30 formats de langue SIEM, EDR ou Data Lake pris en charge. Appliquez la Recherche Légère pour interroger plus de 12 000 étiquettes de données adaptées au sein du cloud hébergé localement de SOC Prime garantissant un accès aux données totalement transparent, privé et ultra-rapide pour une expérience de recherche simplifiée.
Analyse de Remcos RAT
Les laboratoires FortiGuard de Fortinet ont récemment découvert une campagne de phishing ciblant les utilisateurs de Windows et diffusant une nouvelle itération sans fichier du logiciel malveillant Remcos RAT.
Remcos RAT est un maliciel commercial, qui offre aux acheteurs un éventail d’outils avancés pour gérer à distance les ordinateurs sous leur contrôle. Cependant, les cybercriminels ont exploité Remcos pour voler des informations sensibles aux victimes et manipuler leurs systèmes à des fins malveillantes. Remcos RAT a également été utilisé dans des campagnes de phishing par le groupe de hackers soutenu par la Russie UAC-0050, ciblant principalement les organismes étatiques ukrainiens. Par exemple, tout au long de septembre et octobre 2024, UAC-0050 a effectué au moins 30 tentatives de pénétrer les ordinateurs des comptables en utilisant le maliciel REMCOS.
Le flux d’infection est déclenché par un e-mail de phishing contenant un fichier leurre Excel de Microsoft masquerading en tant que document lié à une commande. Ce dernier exploite une vulnérabilité RCE connue de Microsoft Office (CVE-2017-0199) pour récupérer un fichier HTA nommé « cookienetbookinetcahce.hta » à partir d’un serveur distant. Le fichier HTA est ensuite exécuté sur l’appareil compromis à l’aide de l’utilitaire natif mshta.exe de Windows. Notamment, le code du fichier HTA est obscurci à travers plusieurs couches utilisant divers langages de script et techniques de codage, pour échapper à la détection et entraver l’analyse anti-malicielle.
Le binaire exécute un script PowerShell obscurci tout en utilisant des techniques anti-analyse et anti-débogage pour contourner la détection. Les adversaires emploient une large gamme de techniques d’évasion de détection, telles qu’un gestionnaire d’exception vectoriel, des API obtenues dynamiquement, des valeurs constantes calculées et le hooking d’API.
Une fois les défenses anti-analyse contournées, le logiciel malveillant utilise le « hollowing » de processus pour exécuter du code malveillant directement en mémoire, dans un nouveau processus nommé « Vaccinerende.exe », rendant la nouvelle version de Remcos RAT un variant sans fichier.
Remcos RAT recueille des métadonnées système et exécute des commandes reçues de son serveur C2. Celles-ci incluent le vol de fichiers, l’arrêt de processus, la gestion des services système, la modification du registre Windows, l’exécution de scripts, la capture des données du presse-papiers, l’accès à la caméra et au microphone, le téléchargement de charges utiles, l’enregistrement de l’écran, et la désactivation de l’entrée clavier ou souris. Le code malveillant modifie le registre système pour créer une nouvelle entrée auto-exécutable, garantissant la persistance et conservant le contrôle de l’appareil de la victime même après un redémarrage.
Le nouveau variant sans fichier de Remcos RAT, combiné à de multiples techniques d’évasion de détection, le rend plus difficile pour les défenseurs à identifier rapidement l’activité malveillante. En s’appuyant sur la suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces, et la détection avancée des menaces, les équipes de sécurité peuvent accéder à des solutions de pointe pour une défense proactive tout en construisant une posture cybersécurité robuste pour un avenir sécurisé.
