یک تروجان دسترسی از راه دور (RAT) که با نام Remcos RAT شناخته میشود، با پنهان نمودن خود به عنوان بازیهای متعلق به بزرگسالان در کره جنوبی، از طریق WebHard (وبهاردها) منتشر میشود. WebHard، مخفف web hard drive (وب هارد درایو)، یک سیستم ذخیره سازی فایل آنلاین محبوب است که برای آپلود، دانلود و به اشتراک گذاری فایل ها در کشور استفاده می شود.
در حالی که webhards در گذشته برای ارائه بدافزارهای njRAT، UDP RAT و بات نت DDoS استفاده شده است، آخرین تجزیه و تحلیل مرکز پاسخ اضطراری امنیتی AhnLab (ASEC) نشان میدهد که این تکنیک برای توزیع Remcos RAT به کار گرفته شده است.
کاربران در این حملات، فریب داده میشوند تا فایلهای فریبنده و طعمه را باز کرده و آنها را به عنوان بازیهای متعلق به بزرگسالان ارسال کنند که به هنگام راهاندازی، اسکریپتهای مخرب Visual Basic را اجرا میکنند تا یک باینری به نام ” ffmpeg.exe” را اجرا خواهد کرد. این منجر به بازیابی Remcos RAT از یک سرور تحت کنترل مهاجم می شود.
Remcos (معروف به ” Remote Control and Surveillance ” یا “کنترل و نظارت از راه دور”)، یک RAT پیچیده است که کنترل و نظارت غیرمجاز از راه دور میزبانهای هک شده را تسهیل میبخشد و مهاجم را قادر میسازد تا دادههای حساس را استخراج کند.
این بدافزار، اگرچه در ابتدا توسط شرکت آلمانی Breaking Security در سال ۲۰۱۶ به عنوان یک ابزار مدیریت از راه دور معتبر به بازار عرضه شد، اما به سلاحی قدرتمند تبدیل شده است که توسط هکرها برای نفوذ به سیستمها و ایجاد کنترل نامحدود به کار میرود. Remcos RAT به یک ابزار مخرب تبدیل شده است که توسط عوامل تهدید در کمپین های مختلف استفاده میشود.
قابلیت های چند منظوره بدافزار، از جمله کیلاگر، ضبط صدا، گرفتن اسکرین شات و موارد دیگر، پتانسیل آن را برای نقض حریم خصوصی کاربر، استخراج دادههای حساس و دستکاری سیستمها برجسته میکند. توانایی RAT برای غیرفعال سازی کنترل حساب کاربری (UAC) و ایجاد تداوم دسترسی بیشتر و تاثیر بالقوه آن تقویت میشود.
IoCها
فایلها
- exe : 00bfd32843a34abf0b2fb26a395ed2a4
- dll : 4d04070dee9b27afc174016b3648b06c
- jpg : 5193669c2968980c0e88a87fd4bf61c4
- vbs : 2e6796377e20a6ef4b5e85a4ebbe614d
- vbs : b05de31c9c254eea1be1dc4c5a38672c
- bat : 5574647e6e64cee7986478a31eecbae0
- bat : 629c21b1eee4e65eb38809302ae029f6
- vbs : ee198ab059b0e180757e543ab6e02bed
- vbs : 2f6768c1e17e63f67e173838348dee58
- vbs : 36aa180dc652faf6da2d68ec4dac8ddf
سرورهای فرمان و کنترل (C&C)
- com/share/Favela.r6map
- com/share/1.exe
- com/share/BankG.r6map
