Contenuto di Threat Hunting: Campagne Remcos RAT COVID19

Ultime Minacce

Maggio 14, 2020

2 min di lettura

Contenuto di Threat Hunting: Campagne Remcos RAT COVID19

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Remcos RAT è stato individuato per la prima volta nel 2016. Ora si presenta come uno strumento legittimo di accesso remoto, ma è stato utilizzato in numerose campagne globali di hacking. Su vari siti e forum, i cybercriminali pubblicizzano, vendono e offrono la versione crackata di questo malware. Dalla fine di febbraio, i ricercatori di sicurezza hanno scoperto diverse campagne che distribuiscono il trojan Remcos e sfruttano il tema del COVID-19 nelle email di phishing. 

Alcune settimane fa, un’altra campagna mirata a una piccola impresa negli Stati Uniti è diventata nota: gli attaccanti hanno falsificato l’email della Small Business Administration del governo degli Stati Uniti per assicurarsi che le loro vittime aprissero l’allegato malevolo e iniziassero l’esecuzione a più fasi, iniziando con il downloader GuLoader per consegnare il Trojan. Remcos può essere utilizzato per spiare le sue vittime, raccogliere credenziali, esfiltrare file ed eseguire comandi. 

Regola di threat hunting di Osman Demir permette alla tua soluzione di sicurezza di rilevare nuove istanze di questo Remote Access Trojan: https://tdm.socprime.com/tdm/info/VTPq73Wr1ZQs/oSF1DXIBjwDfaYjK0HeG/?p=1

Il rilevamento delle minacce è supportato per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione

Tecniche: Esecuzione utente (T1204)

 

Regole YARA di Osman Demir per scoprire il RAT: https://tdm.socprime.com/tdm/info/Eh7mpdZYLttx/fCFbDXIBjwDfaYjK9Hc9/

Altri contenuti di Emir Erdogan relativi al Trojan e alle campagne recenti:

Rilevamento del Backdoor Remcos RAT – https://tdm.socprime.com/tdm/info/0pEIgeXQQ8qJ/HCDcP3EBjwDfaYjKheK0/

Remcos RAT scaricato tramite Internet Explorer – https://tdm.socprime.com/tdm/info/SbAfC5odSp8V/-4uRpnEB1-hfOQir2dtY/

GuLoader scarica REMCOS e PARALLAX RAT – https://tdm.socprime.com/tdm/info/neIOio4uZ1xB/euYsT3EBv8lhbg_i7yo4/

Remcos Remote Access Tool (RAT) – Regole YARA – https://tdm.socprime.com/tdm/info/sDp8qxV1mDn1/g8KVz20BEiSx7l0HEpF8/

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko