Contenu de Chasse aux Menaces : Campagnes Remcos RAT COVID19

Remcos RAT a été repéré pour la première fois en 2016. Aujourd’hui, il se présente comme un outil d’accès à distance légitime, mais il a été utilisé dans de multiples campagnes de piratage mondiales. Sur divers sites et forums, les cybercriminels font la publicité, vendent et proposent la version crackée de ce malware. Depuis le fin février, les chercheurs en sécurité ont découvert plusieurs campagnes qui distribuent le Cheval de Troie Remcos et exploitent le thème du COVID-19 dans des emails de phishing. 

Il y a quelques semaines, une autre campagne visant une petite entreprise aux États-Unis est devenue connue : les attaquants ont usurpé l’email de la Small Business Administration du gouvernement américain pour s’assurer que leurs victimes ouvrent la pièce jointe malveillante et commencent une exécution en plusieurs étapes, en commençant par le téléchargeur GuLoader pour livrer le Cheval de Troie. Remcos peut être utilisé pour espionner ses victimes, collecter des identifiants, exfiltrer des fichiers et exécuter des commandes. 

Règle de chasse aux menaces par Osman Demir permet à votre solution de sécurité de détecter de nouvelles instances de ce Cheval de Troie d’accès à distance : https://tdm.socprime.com/tdm/info/VTPq73Wr1ZQs/oSF1DXIBjwDfaYjK0HeG/?p=1

La détection des menaces est prise en charge pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR : Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution

Techniques : Exécution par l’utilisateur (T1204)

Règles YARA par Osman Demir pour découvrir le RAT : https://tdm.socprime.com/tdm/info/Eh7mpdZYLttx/fCFbDXIBjwDfaYjK9Hc9/

Plus de contenu par Emir Erdogan concernant le Cheval de Troie et les campagnes récentes :

Détection de la porte dérobée Remcos RAT – https://tdm.socprime.com/tdm/info/0pEIgeXQQ8qJ/HCDcP3EBjwDfaYjKheK0/

Remcos RAT téléchargé via Internet Explorer – https://tdm.socprime.com/tdm/info/SbAfC5odSp8V/-4uRpnEB1-hfOQir2dtY/

GuLoader télécharge REMCOS et PARALLAX RAT – https://tdm.socprime.com/tdm/info/neIOio4uZ1xB/euYsT3EBv8lhbg_i7yo4/

Outil d’accès à distance Remcos (RAT) – Règles YARA – https://tdm.socprime.com/tdm/info/sDp8qxV1mDn1/g8KVz20BEiSx7l0HEpF8/