새로운 Remcos RAT 활동 탐지: 피싱 캠페인을 통해 전파되는 새로운 파일리스 멀웨어 변종

사이버 보안 연구원들은 피싱 이메일에 미끼 첨부 파일로 사용되는 악성 Excel 파일에 의해 악용되는 CVE-2017-0199로 추적되는 Microsoft Office의 알려진 RCE 취약점을 활용하는, 인 더 와일드에서 진행 중인 적대 세력 캠페인을 식별했습니다. 이 피싱 캠페인은 악명 높은 파일리스 버전의 새로운 Remcos RAT 맬웨어를 배포하고 대상 시스템에 대한 전체 원격 제어를 수행하도록 설계되었습니다.

Remcos RAT 탐지

피싱 은 계속해서 주요 공격 벡터로 자리 잡고 있으며, 2023년 피싱 공격이 58.2% 증가 했으며, 이는 위협 행위자의 성장하는 정교함과 도달 범위를 강조합니다. 피싱 이메일을 통해 확산되는 Remcos RAT의 참신한 파일리스 버전은 Windows 사용자가 공격자에게 감염된 장치의 전체 원격 제어 권한을 제공하고, 민감한 데이터를 도난하고, 추가 공격 작전을 수행할 수 있도록 함으로써 위험을 증가시킵니다. SOC Prime Platform은 Remcos RAT을 악용한 피싱 공격에 대해 보안 팀이 선제적으로 방어할 수 있도록 돕기 위해 전체 탐지 알고리즘 컬렉션을 큐레이팅합니다.

언론 탐지 항목 탐색 관련 탐지를 찾고 MITRE ATT&CK®, 맞춤형 CTI 된 위협 조사를 위한 탐지를 탐색하며, 사용 중인 30개 이상의 지원되는 SIEM, EDR 또는 데이터 레이크 언어 형식으로 코드를 자동으로 변환하십시오. Light Search를 적용하여 SOC Prime의 로컬 클라우드에서 12,000개 이상의 맞춤형 데이터 레이블을 통해 쿼리하여 데이터에 대한 완전히 투명하고 개인적인 접근이 가능하며 초고속 속도의 단순화된 검색 경험을 제공합니다.

탐지 항목 탐색

Remcos RAT 분석

Fortinet의 FortiGuard Labs는 최근 Windows 사용자를 대상으로 하고 새로운 파일리스 Remcos RAT 맬웨어 변형을 확산하는 피싱 캠페인을 발견했습니다.

Remcos RAT는 구매자에게 제어 하에 있는 컴퓨터를 원격으로 관리할 수 있는 다양한 고급 도구를 제공하는 상업용 맬웨어입니다. 그러나 사이버 범죄자들은 희생자로부터 민감한 정보를 훔치고 시스템을 악의적으로 조작하기 위해 Remcos를 악용했습니다. Remcos RAT는 러시아 지원 해킹 그룹인 UAC-0050에 의해 피싱 캠페인에서 활용되었으며, 주로 우크라이나 국가 기관을 대상으로 합니다. 예를 들어 2024년 9월과 10월 동안 UAC-0050는 적어도 30번의 시도를 진행했습니다. REMCOS 맬웨어를 활용하여 회계 담당자의 컴퓨터 침입을 시도했습니다.

감염 경로는 주문 관련 문서로 가장한 Microsoft Excel 미끼 파일을 포함하는 피싱 이메일로 시작됩니다. 후자는 원격 서버에서 “cookienetbookinetcahce.hta”라는 HTA 파일을 가져오기 위해 Office (CVE-2017-0199)의 알려진 Microsoft Office RCE 취약점을 악용합니다. HTA 파일은 Windows 고유의 mshta.exe 유틸리티를 사용하여 감염된 장치에서 실행됩니다. 특히 HTA 파일 코드는 여러 스크립팅 언어와 인코딩 기술을 사용하여 여러 계층으로 난독화되어 탐지를 피하고 안티 맬웨어 분석을 저해합니다.

바이너리는 탐지를 우회하기 위해 안티 분석 및 안티 디버깅 기술을 사용하면서 난독화된 PowerShell 스크립트를 실행합니다. 공격자들은 벡터 예외 핸들러, 동적으로 얻은 API, 계산된 상수 값, API 후킹과 같은 다양한 탐지 회피 기술을 사용합니다.

안티 분석 방어가 무력화되면, 맬웨어는 프로세스 홀로잉을 사용하여 ‘Vaccinerende.exe’라는 새로운 프로세스 내에서 메모리 내에 직접 악성 코드를 실행하여 새로운 Remcos RAT를 파일리스 변종으로 만듭니다.

Remcos RAT는 시스템 메타데이터를 수집하고 C2 서버에서 수신한 명령을 실행합니다. 여기에는 파일 도난, 프로세스 종료, 시스템 서비스 관리, Windows 레지스트리 수정, 스크립트 실행, 클립보드 데이터 캡처, 카메라 및 마이크 액세스, 페이로드 다운로드, 화면 녹화, 키보드 또는 마우스 입력 비활성화가 포함됩니다. 악성 코드는 자동 실행 항목을 새로 만들어 시스템 레지스트리를 수정하여 지속성을 보장하고 재부팅 후에도 피해자 장치에 대한 제어를 유지합니다.

새로운 파일리스 변종의 Remcos RAT는 여러 탐지 회피 기술과 결합되어 방어자들이 악성 활동을 신속하게 식별하는 것을 더 어렵게 만듭니다. 이에 따라 SOC Prime의 완전한 제품군 을 통해 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 위한 최첨단 솔루션에 액세스하여 보안 팀은 선제적 방어를 위한 도구를 얻고, 안전한 내일을 위한 강력한 사이버 보안 자세를 구축할 수 있습니다.