Remcos RATフィッシングキャンペーン: 最新の感染チェーン

フィッシングの新しい波が配信している Remcos RAT ペイロード が 観察されています セキュリティ研究者によって。 Remcos は、Breaking Security社によって開発された商用のリモート管理トロイの木馬で、彼らのウェブサイトから無料でアクセスできます。このツールを開発したソースによれば、Remcosはファイルマネージャーの機能を駆使して一回のクリックでフォルダー全体をダウンロードし、キーロガーを利用し、C＆Cサーバーとの接続を確立する能力があります。Remcos RATは継続的に改良され続けていることは注目に値します。最新のアップデートは2022年4月1日に公開されました。

前述の機能により、攻撃者は持続性を維持し、偵察（音声録音やスクリーンショットを使用）を行い、機密情報を盗み、感染したマシンを制御することができ、操作に目立った変化はなく、ユーザーに気付かれずに行われます。

現在進行中のキャンペーンは金融志向で、FIS GlobalやWells Fargo、ACH Paymentなどの正規機関からの送金通知を模倣しています。SIEM、EDR、XDRソリューション用の検出コンテンツの可能性を探り、インフラ内でRemcos RATトロイの最新の活動を特定するのに役立つでしょう。

Remcos トロイの感染：検出方法は？

最新の Sigmaベースの検出ルールをデプロイし Aytek Aytemur によって作成された、Remcos RATの最新の行動を特定できるようにします。

PowerShellがマルチステージダウンローダーを実行することによる疑わしいRemcosマルウェア実行 (via ps_script)

この検出は、次のSIEM、EDR、XDRフォーマットで利用可能です：Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、Devo、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Apache Kafka ksqlDB、AWS OpenSearch。

このルールは、ExecutionタクティックとUser Execution (T1204) テクニックに対応する、最新のMITRE ATT&CK®フレームワークv.10に整合しています。

Remcos RATはしばらく存在しており、その活動の多くの兆候はすでに検出可能です。Remcos攻撃に関連したSigmaベースのルールの包括的なリストに入り、このマルウェアが実行できる幅広い活動を把握してください。また、自分で検出を作成する場合は、サイバーの世界を安全にすることで収益化できるクラウドソーシングイニシアチブをチェックしてください。

検出を表示 脅威バウンティに参加する

Remcosスパムキャンペーンの分析

典型的な攻撃チェーンは、フィッシングメールで感染したXLSファイルを送信することから始まります。検出を回避するために、敵対者はこのファイルにパスワード保護を追加します。被害者がそれを開いてマクロを有効にすると、悪意のあるXMLコードがRemcosバイナリパラメータの実行を可能にします。

一連のPowerShellコマンドを通じて、XLSファイルは新しいVBSファイルの作成と実行を行います。後者のファイルが類似のコマンドを実行し、悪意のあるC＆Cサーバーから抽出された次のファイルをダウンロード、保存、および実行します。後者のファイルは再びサーバーと接続し、暗号化されたコマンドレットコマンドを配信し、最終的なRATをこのシーケンスの終わりで配信する.NETオブジェクトに基づいて、まったく異なるアクションシーケンスをロードおよび復号します。

その結果、研究者たちは以下の結論を出しました Remcos RATの最終コンポーネント は、接続したC2サーバーに依存する複雑な感染段階のチェーンを通じて配信されます。見ることができるように、マルウェアの中の難読化された情報やコードは、利用可能なセキュリティ制御を回避するために特別に開発されています。しかし、最新の検出コンテンツを使うことで、現代の洗練された攻撃に対して先手を打つことが可能です。 SOC Prime Detection as Code プラットフォームに参加し、世界的に認められたセキュリティスペシャリストが集まって高品質なサイバー検出を継続的に作成します。