위협 사냥 콘텐츠: Remcos RAT COVID19 캠페인

Remcos RAT는 2016년 처음 발견되었습니다. 이제 합법적인 원격 액세스 도구로 주장되지만 여러 글로벌 해킹 캠페인에서 사용되었습니다. 다양한 사이트와 포럼에서 사이버 범죄자들은 이 멀웨어의 크랙 버전을 광고, 판매 및 제공하고 있습니다. 이후 2월 말부터보안 연구원들은 Remcos Trojan을 배포하고 피싱 이메일에서 COVID-19 테마를 이용하는 여러 캠페인을 발견했습니다. 

몇 주 전, 또 다른 캠페인이 미국의 중소기업을 대상으로 한 것으로 알려졌습니다: 공격자들은 피해자가 악성 첨부 파일을 열도록 하기 위해 미국 정부 중소기업청 이메일을 위장했으며, GuLoader 다운로드 프로그램을 시작으로 다단계 실행이 시작되어 트로이 목마가 전송됩니다. Remcos는 피해자를 감시하거나, 자격 증명을 수집하거나, 파일을 유출하거나, 명령을 실행하는 데 사용될 수 있습니다. 

Osman Demir에 의한 위협 사냥 규칙이 이 원격 액세스 트로이 목마의 새로운 인스턴스를 탐지하기 위해 보안 솔루션을 활성화합니다: enables your security solution to detect fresh instances of this Remote Access Trojan: https://tdm.socprime.com/tdm/info/VTPq73Wr1ZQs/oSF1DXIBjwDfaYjK0HeG/?p=1

다음 플랫폼에서 위협 탐지가 지원됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Elastic Endpoint

MITRE ATT&CK: 

전술: 실행

기술: 사용자 실행 (T1204)

RAT을 발견하기 위한 Osman Demir의 YARA 규칙: https://tdm.socprime.com/tdm/info/Eh7mpdZYLttx/fCFbDXIBjwDfaYjK9Hc9/

Trojan 및 최근 캠페인과 관련된 Emir Erdogan의 추가 콘텐츠:

Remcos RAT 백도어 탐지 – https://tdm.socprime.com/tdm/info/0pEIgeXQQ8qJ/HCDcP3EBjwDfaYjKheK0/

인터넷 익스플로러를 통해 다운로드된 Remcos RAT – https://tdm.socprime.com/tdm/info/SbAfC5odSp8V/-4uRpnEB1-hfOQir2dtY/

GuLoader가 REMCOS 및 PARALLAX RAT 다운로드 – https://tdm.socprime.com/tdm/info/neIOio4uZ1xB/euYsT3EBv8lhbg_i7yo4/

Remcos 원격 액세스 도구 (RAT) – YARA 규칙 – https://tdm.socprime.com/tdm/info/sDp8qxV1mDn1/g8KVz20BEiSx7l0HEpF8/