Remcos RAT 피싱 캠페인: 업데이트된 감염 체인

피싱 공격의 새로운 물결이 배포되고 있습니다 Remcos RAT 페이로드 관찰되었습니다 보안 연구자들에 의해 . Remcos 는 Breaking Security 회사가 개발한 상업용 원격 관리 트로이 목마로, 자사 웹사이트에서 무료로 접근할 수 있습니다. 이 도구를 개발한 소스에 따르면, Remcos는 파일 관리자 기능을 활용하여 클릭 한 번으로 전체 폴더를 다운로드하고 키로거를 사용하며 C&C 서버와 연결할 수 있습니다. Remcos RAT는 지속적으로 개선되고 있으며, 최신 업데이트는 2022년 4월 1일에 발표되었습니다.

위의 기능 덕분에 공격자는 지속성을 유지하고, 정보 수집(오디오 녹음 및 스크린샷)을 수행하며 민감한 정보를 훔치고 사용자가 알지 못하는 사이에 감염된 기계에 대한 제어를 얻을 수 있습니다.

현재 캠페인은 재정적 목적을 가지고 있으며, FIS Global, Wells Fargo, ACH Payment와 같은 합법적인 기관으로부터 송금 결제 알림을 모방합니다. SIEM, EDR & XDR 솔루션에 대한 탐지 콘텐츠의 가능성을 발견하여 전체 인프라 내에서 Remcos RAT 트로이 목마의 최신 활동을 탐지할 수 있도록 하십시오.

Remcos 트로이 감염: 탐지 방법

최신 Sigma기반 탐지 규칙을 배포하여, 우리 Threat Bounty 개발자 Aytek Aytemur 가 생성한 최신 Remcos RAT 동작을 감지할 수 있습니다.

PowerShell 다단계 다운로드기를 실행하는 의심스러운 Remcos 악성코드 실행 (ps_script 통해)

이 탐지는 다음 SIEM, EDR & XDR 형식에서 사용할 수 있습니다: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞추어져 있으며, 실행 전술과 사용자 실행(T1204) 기술을 다루고 있습니다.

Remcos RAT는 꽤 오랫동안 존재해 왔으며, 따라서 그 활동의 많은 징후들이 이미 탐지 가능합니다. Remcos 공격과 관련된 Sigma 기반 규칙의 포괄적인 리스트를 탐색하여 이 멀웨어가 수행할 수 있는 활동의 보다 넓은 범위를 인식하십시오. 또한, 자신의 탐지를 작성 중인 경우, 사이버 세계를 더 안전하게 만드는 데 기여하여 수익을 얻을 수 있는 우리의 크라우드소싱 이니셔티브를 확인하십시오.

탐지 보기 Threat Bounty 참여

Remcos 스팸 캠페인 분석

일반적인 공격 체인은 피싱 이메일을 통해 감염된 XLS 파일을 보내는 것으로 시작합니다. 탐지를 회피하기 위해, 적들은 이 파일에 암호 보호를 추가합니다. 피해자가 이를 열고 매크로를 활성화하면, 악성 XML 코드가 Remcos 이진 매개변수 실행을 가능하게 합니다.

PowerShell 명령 시리즈를 통해, XLS 파일은 새로운 VBS 파일을 생성하고 실행합니다. 그 후, 후자는 또 다른 유사한 명령을 실행하여 악성 C&C 서버에서 다음 파일을 다운로드하고 저장하며 실행합니다. 후자의 파일은 서버와 다시 연결하여 암호화된 명령을 전달하며, .NET 객체를 기반으로 한 다양한 액션 시퀀스를 로드하고 해독하여 최종적으로 RAT을 전달합니다.

결과적으로, 연구자들은 Conclude할 수 있었습니다 Remcos RAT 최종 구성 요소 는 모든 필수 파일이 저장된 C2 서버와의 연결에 크게 의존하는 복잡한 감염 단계 체인을 통해 전달됩니다. 보시다시피, 이 멀웨어의 스트레인 내의 모호한 정보와 코드는 사용 가능한 보안 통제를 회피하도록 구체적으로 개발되었습니다. 그러나 최신 탐지 콘텐츠를 사용하면 현대의 정교한 공격을 앞설 수 있습니다. 협력 방어의 힘에 접근하는 방법은 SOC Prime Detection as Code 플랫폼에 가입하여 전 세계적으로 인정받는 보안 전문가들이 지속적으로 높은 품질의 사이버 탐지를 생성하는 것입니다.