脅威ハンティングコンテンツ: Remcos RAT COVID19キャンペーン

Remcos RATは2016年に初めて発見されました。今では合法的なリモートアクセスツールであると称していますが、複数のグローバルなハッキングキャンペーンで使用されてきました。様々なサイトやフォーラムでは、サイバー犯罪者がこのマルウェアのクラック版を広告、販売、提供しています。 2月末以降、セキュリティ研究者はRemcosトロイの木馬を配布し、フィッシングメールでCOVID-19をテーマに利用するいくつかのキャンペーンを発見しました。 

数週間前、 別のキャンペーンが アメリカの小企業を対象にしたことが明らかになりました。攻撃者は米国政府の小企業管理局のメールを偽装し、被害者に悪意のある添付ファイルを開かせ、マルチステージの実行を開始させました。GuLoaderダウンローダーを介してトロイの木馬を配信します。Remcosは被害者のスパイ、資格情報の収集、ファイルの流出、コマンドの実行に使用される可能性があります。 

オスマン・デミルによる脅威ハンティングルールが あなたのセキュリティ対策にこのリモートアクセス型トロイの木馬の新しいインスタンスを検出することを可能にします。 enables your security solution to detect fresh instances of this Remote Access Trojan: https://tdm.socprime.com/tdm/info/VTPq73Wr1ZQs/oSF1DXIBjwDfaYjK0HeG/?p=1

次のプラットフォームで脅威検出がサポートされています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行

技術: ユーザー実行 (T1204)

オスマン・デミルによるYARAルールでRATを発見： https://tdm.socprime.com/tdm/info/Eh7mpdZYLttx/fCFbDXIBjwDfaYjK9Hc9/

Emir Erdoganによるトロイと最近のキャンペーンに関連するコンテンツ一覧：

Remcos RATバックドア検出 – https://tdm.socprime.com/tdm/info/0pEIgeXQQ8qJ/HCDcP3EBjwDfaYjKheK0/

Remcos RATがInternet Explorer経由でダウンロードされた – https://tdm.socprime.com/tdm/info/SbAfC5odSp8V/-4uRpnEB1-hfOQir2dtY/

GuLoaderがREMCOSとPARALLAX RATをダウンロード – https://tdm.socprime.com/tdm/info/neIOio4uZ1xB/euYsT3EBv8lhbg_i7yo4/

Remcosリモートアクセスツール（RAT） – YARAルール – https://tdm.socprime.com/tdm/info/sDp8qxV1mDn1/g8KVz20BEiSx7l0HEpF8/