خانه » Remcos RAT از طریق بازی‌های مختص گروه سنی بزرگسالان در موج حمله جدید توزیع می‌شود

Remcos RAT از طریق بازی‌های مختص گروه سنی بزرگسالان در موج حمله جدید توزیع می‌شود

توسط Vulnerbyte
273 بازدید
Remcos RAT از طریق Webhards توزیع میشود

یک تروجان دسترسی از راه دور (RAT) که با نام Remcos RAT شناخته می‌شود، با پنهان نمودن خود به عنوان بازی‌های متعلق به بزرگسالان در کره جنوبی، از طریق WebHard (وب‌هاردها) منتشر می‌شود. WebHard، مخفف web hard drive (وب هارد درایو)، یک سیستم ذخیره سازی فایل آنلاین محبوب است که برای آپلود، دانلود و به اشتراک گذاری فایل ها در کشور استفاده می شود.

در حالی که webhards در گذشته برای ارائه بدافزارهای njRAT، UDP RAT و بات نت DDoS استفاده شده است، آخرین تجزیه و تحلیل مرکز پاسخ اضطراری امنیتی AhnLab (ASEC) نشان می‌دهد که این تکنیک برای توزیع Remcos RAT به کار گرفته شده است.

کاربران در این حملات، فریب داده می‌شوند تا فایل‌های فریبنده و طعمه را باز کرده و آن‌ها را به عنوان بازی‌های متعلق به بزرگسالان ارسال کنند که به هنگام راه‌اندازی، اسکریپت‌های مخرب Visual Basic را اجرا می‌کنند تا یک باینری به نام ” ffmpeg.exe” را اجرا خواهد کرد. این منجر به بازیابی Remcos RAT از یک سرور تحت کنترل مهاجم می شود.

زنجیره نفوذ Remcos RAT

Remcos (معروف به ” Remote Control and Surveillance ” یا “کنترل و نظارت از راه دور”)، یک RAT پیچیده است که کنترل و نظارت غیرمجاز از راه دور میزبان‌های هک شده را تسهیل می‌بخشد و مهاجم را قادر می‌سازد تا داده‌های حساس را استخراج کند.

Remcos RAT از طریق Webhards توزیع میشود

این بدافزار، اگرچه در ابتدا توسط شرکت آلمانی Breaking Security در سال ۲۰۱۶ به عنوان یک ابزار مدیریت از راه دور معتبر به بازار عرضه شد، اما به سلاحی قدرتمند تبدیل شده است که توسط هکرها برای نفوذ به سیستم‌ها و ایجاد کنترل نامحدود به کار می‌رود. Remcos RAT به یک ابزار مخرب تبدیل شده است که توسط عوامل تهدید در کمپین های مختلف استفاده می‌شود.

قابلیت های چند منظوره بدافزار، از جمله کیلاگر، ضبط صدا، گرفتن اسکرین شات و موارد دیگر، پتانسیل آن را برای نقض حریم خصوصی کاربر، استخراج داده‌های حساس و دستکاری سیستم‌ها برجسته می‌کند. توانایی RAT برای غیرفعال سازی کنترل حساب کاربری (UAC) و ایجاد تداوم دسترسی بیشتر و تاثیر بالقوه آن تقویت می‌شود.

 

IoCها

فایل‌ها

  • exe : 00bfd32843a34abf0b2fb26a395ed2a4
  • dll : 4d04070dee9b27afc174016b3648b06c
  • jpg : 5193669c2968980c0e88a87fd4bf61c4
  • vbs : 2e6796377e20a6ef4b5e85a4ebbe614d
  • vbs : b05de31c9c254eea1be1dc4c5a38672c
  • bat : 5574647e6e64cee7986478a31eecbae0
  • bat : 629c21b1eee4e65eb38809302ae029f6
  • vbs : ee198ab059b0e180757e543ab6e02bed
  • vbs : 2f6768c1e17e63f67e173838348dee58
  • vbs : 36aa180dc652faf6da2d68ec4dac8ddf

 

سرورهای فرمان و کنترل (C&C)

  • com/share/Favela.r6map
  • com/share/1.exe
  • com/share/BankG.r6map

 

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید