Contenuto di Threat Hunting: Campagne Remcos RAT COVID19

Remcos RAT è stato individuato per la prima volta nel 2016. Ora si presenta come uno strumento legittimo di accesso remoto, ma è stato utilizzato in numerose campagne globali di hacking. Su vari siti e forum, i cybercriminali pubblicizzano, vendono e offrono la versione crackata di questo malware. Dalla fine di febbraio, i ricercatori di sicurezza hanno scoperto diverse campagne che distribuiscono il trojan Remcos e sfruttano il tema del COVID-19 nelle email di phishing. 

Alcune settimane fa, un’altra campagna mirata a una piccola impresa negli Stati Uniti è diventata nota: gli attaccanti hanno falsificato l’email della Small Business Administration del governo degli Stati Uniti per assicurarsi che le loro vittime aprissero l’allegato malevolo e iniziassero l’esecuzione a più fasi, iniziando con il downloader GuLoader per consegnare il Trojan. Remcos può essere utilizzato per spiare le sue vittime, raccogliere credenziali, esfiltrare file ed eseguire comandi. 

Regola di threat hunting di Osman Demir permette alla tua soluzione di sicurezza di rilevare nuove istanze di questo Remote Access Trojan: https://tdm.socprime.com/tdm/info/VTPq73Wr1ZQs/oSF1DXIBjwDfaYjK0HeG/?p=1

Il rilevamento delle minacce è supportato per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione

Tecniche: Esecuzione utente (T1204)

Regole YARA di Osman Demir per scoprire il RAT: https://tdm.socprime.com/tdm/info/Eh7mpdZYLttx/fCFbDXIBjwDfaYjK9Hc9/

Altri contenuti di Emir Erdogan relativi al Trojan e alle campagne recenti:

Rilevamento del Backdoor Remcos RAT – https://tdm.socprime.com/tdm/info/0pEIgeXQQ8qJ/HCDcP3EBjwDfaYjKheK0/

Remcos RAT scaricato tramite Internet Explorer – https://tdm.socprime.com/tdm/info/SbAfC5odSp8V/-4uRpnEB1-hfOQir2dtY/

GuLoader scarica REMCOS e PARALLAX RAT – https://tdm.socprime.com/tdm/info/neIOio4uZ1xB/euYsT3EBv8lhbg_i7yo4/

Remcos Remote Access Tool (RAT) – Regole YARA – https://tdm.socprime.com/tdm/info/sDp8qxV1mDn1/g8KVz20BEiSx7l0HEpF8/