Remcos RAT IOCs - Part 11

За последние два месяца исследователи Check Point столкнулись с новой масштабной фишинговой кампанией, жертвами которой стали более 40 известных компаний, работающих в различных отраслях экономики, в Колумбии.

Содержание

Remcos RAT

Целью злоумышленников была незаметная установка на компьютеры жертв печально известной вредоносной программы "Remcos". Remcos, представляющий собой сложный "швейцарский армейский нож" RAT, предоставляет злоумышленникам полный контроль над зараженным компьютером и может быть использован в различных атаках. Среди распространенных последствий заражения Remcos - кража данных, повторное заражение и захват учетных записей. В нашем отчете мы подробно разбираемся в тонкостях атаки и рассказываем о скрытных методах, используемых злоумышленниками.

Злоумышленники начали кампанию с рассылки обманных писем якобы от доверенных лиц, включая солидные финансовые организации и корпорации, работающие на территории Колумбии. Вредоносные письма создавали видимость подлинности, часто содержали срочные уведомления, сообщения о просроченной задолженности или заманчивые предложения.

Фишинговое письмо содержит вложение, которое выглядит как безобидный архивный файл, например ZIP, RAR или TGZ. На ярлыке вложения указано, что оно содержит важные документы, счета или другую заманчивую информацию, побуждающую получателя открыть его.

Архивный файл содержит сильно замаскированный пакетный файл (BAT). После выполнения BAT-файл запускает команды PowerShell, которые также сильно обфусцированы. Такая многоуровневая обфускация затрудняет обнаружение и анализ вредоносной полезной нагрузки средствами защиты.

После расшифровки команды PowerShell загружают в память два модуля .NET. Эти модули необходимы для последующих этапов атаки.

Основной задачей первого .NET-модуля является обход обнаружения и отключение всех механизмов защиты, присутствующих в атакуемой системе. Удаление или обход защитных крючков повышает шансы вредоносной программы остаться незамеченной и позволяет ей работать скрытно.

Второй модуль .NET динамически загружает из файловых ресурсов еще один компонент под названием "LoadPE". "LoadPE" отвечает за рефлективную загрузку - технику, позволяющую загружать переносимый исполняемый файл (PE) (в данном случае вредоносную программу Remcos) непосредственно в память без необходимости его хранения на диске.

Используя компонент "LoadPE", злоумышленники загружают конечную полезную нагрузку - вредоносную программу Remcos - непосредственно из своих ресурсов в память. Такая рефлексивная загрузка повышает способность вредоносной программы обходить традиционные антивирусы и решения для защиты конечных точек, поскольку она обходит стандартные механизмы обнаружения на основе файлов.

После успешной загрузки вредоносной программы Remcos в память атака завершена. Remcos, мощный инструмент удаленного администрирования (RAT), предоставляет злоумышленникам полный контроль над взломанной системой. Он служит для злоумышленников "швейцарским армейским ножом", позволяющим выполнять широкий спектр вредоносных действий, включая несанкционированный доступ, утечку данных, перехват клавиатуры, удаленную слежку и т.д.

Indicators of Compromise

IPv4

192.161.184.21

SHA1

06c4ae8f298943340466a5dd1a6d44491349dc89
07106f6c27f3f9111f6772be99c13a6d4c9086f9
091a54d15376e86860ed52f3dcb5d3ded457e669
0eb80eca7ce0ce7eb2247e5bc4f1fca0050c6c9a
0f0e747e23c98467bf825f8ef0dd1ab2eacb1169
10b4b1042cecb095b4290b585f3813d962363b80
114fdf1d2bb70d0701c3843a1ef6b85c312cb293
137424047b1b536d84fa67b57af530c2d0f7e103
1af2877ea0f103c0eb7a022616274b06dff387b1
1b9d6935421026676f2e39332894e61406768100
1d50d5066bb37491b56c05b196a569740b1dfae0
1e7535f915f5feaa3efa9454595143287620d2dd
1f617be60cf587d9b4148b99330fe41ec13f9a0f
21f1c5fec49abbe72669d0b24332c1dc19655afc
273aad18bc2b709926857dfeb2004a6023e3801f
289da12f6a23df7ceec631db4222138934973f17
2990974b141cbd7f93331dc7ae99c8ce00768829
2cc559b88c1417bb706c1bdf2da899c4a906b96f
2e03467eb027b820d6414377c4cde1faed41f53d
2f82901f0467e2c1ca4c876f0718ab0054ee8665
2facc6928c6e6e1d934c342f8d0ecdb590227f6e
3030026cf11a87685b53b4339de628012a4ebb8c
30c4ede9a6f31c88b2ae1c0934a6be2dd85c4fcb
32923f96042f5288a47bf44e6a70a2ad1a88e40e
33b3128ec42305c9df027a1b27ec776f87549178
3903cd20c6e72582f0ce3457a8964c6d9bc7496d
3b1d15c94f8a444cdeded4cb1fdc67835a3eb22f
3de22926115f4232b1fed26a4ea45dc9c8ad551f
3f92880d212006e2812dd11b945893616305bd65
4094f97258442bc1df5047fbd08b2e4cdf707788
432dc5cf8b64c591b8d5d80c6c94879b41fbcb25
446343828f9ea0c3da92e88401b06dcad2564efc
476f4ebc66a430e5211a45d3fd987e06adbb87e1
4a76ba6b31fb4afded84a31aac37961333221d4e
4ad0661ce27ad4e738fac9df6399dade735aab75
4d83ca1c2133425e1f87ea4729f40f17beeac8e2
5183b062a48926e20deef57a4d1819be62985803
52ec5ca7ebfed9fd46e6995f295da9b58f8d0db7
56b41bfebfefe17fdb3f983c88b6ba1e509f4673
56fa7cece82be67830de5fda699fb4e8fb8c8ab8
59358571cc8679f945477d4616b853081e90f128
5d41cad361e530512a4bc8f394f5447fdcd19c1b
5eb95c21bc3171b7e7a72d015d632d7cd92eeff5
631ce6b5704cba5087d8bb1f7ec294f1838f875a
66e261009a745aeb0ed753cc920fca12880d5153
6b6b98ce05a28d2089f40f814bd488f9d044b2ac
6bd967409c612466686e60dd409183a014171bf4
6d59089e1bd588e5dff8ddc22a7b5d489bb23099
6fa5b9e94f0ad29807fdf54fe686407988d22675
70a82522c0ff3d0ff1034cb75eb4c655fee8f16d
72db30e960256be5723cf497671af031b99da702
747c2466b4f4b5024f321a07fca597824d2483f8
78fc5666b1599fb45a8de9ead18c0c88762b3fb0
796b5b5f2a9bffb777b46066e7167813dc53d344
7a982b71d4f3c9c280922b3a7446d5b37aea9ea5
7f034c654586f36718b0d8e2cf20898a2434b9be
7f3c4ea235a975d7373263b9122bc5f1b4014dc7
8136a49c3688c2205936dd87bb9fb0713969e74c
841e5093c48ff58949956a76638928f3a70dea09
84668e4bb3b9366a8fd0856a6dc2a76a341589db
85fda5b03b10c5ca740d8b402623e74bf47a1459
879b86cdf85c67b99c2f45afbaba8e4967a36065
8a8b6182bf00f584446d8f5251fc10bc3e634e41
8f92c596c39bb90ede4434984e20ce9910b15161
90a7c84ca422b2a03d5be16b90805bb298f31ddb
90b44246a15df7ce331475cecdb32b907958c017
9417bb08836439b05e950bc397a7fcc1b6d65c3e
95aa52f8d8c9e2cc3f7e408a12c9b547efabef5f
9aaf87c7bd580bcde421bd45149534e1e94e5052
9ec5ece2add690e3bca1a7ef84a73e10e326f39f
a0e0dd39ea5af2fc05fa0381d7f690840f726237
a3e4b4f0f6572b50ed72683ebef08d4f3ae9b28e
a4f5c257bbc2d231b62c54dbf1948475eeeae01d
a738e73eb43b2b13d571bbec921364ef7c0fe89b
a7a22b1637710ee68fe966c72a1efbef4b04f94f
afcc5ffd986c8a3097644db452f478318df175e3
b37b50f13fe9c7e749b3ccdc5cb27a5c75f563e8
b95f28e3e371c4e3bcfaf5d125b108ce0882492e
c184116dc08189023ca32d80a5f683c5230aa2d5
c464353ea1206bf98d74294846d44dcc77abd266
c7fdc4e9085dd5c9277fae611a5346e1ed822e05
cc136bc74eaa921fb852140b9d9fda9ea9bc9d57
ce7acbe0e521474fdcc337e6b6e93bd45e1f0e01
cf175cf4550280e43c6b094561fbe2925808a86e
d01aeb3b10ed5f39623eaa2be7a5d45b4eb9daf3
d2cace3f1a8f7399b56df20af8c6cc73721c7437
d31f0105aaf6a63c9e74474c25a58fd876efa7a0
d5d6ca1af6f85497a600dec6068a179999f53ebe
d67ebf4f01fc1c6cb1089402cd4a75b4afae2907
d833ec0f14bfc04ba0739387844e6971d879fd73
d8d1840820cb74e3a40d09e6123aba21735fc0c4
d8e9eb2b5db47efd11066826c21e0300610d1871
db936d1615f6bb43c70af75b48f9a188ddd616b4
dbc8cd0d565c9fa45a0f0ce030f609cfbc8dcc49
dc5898884939ac85426c75c053b4248fbc157d59
de47ac28807ef5ddf0baac89b833d629365b69fa
de89d77a580333433dad82418e94277288eeac3c
e08d2d4008b7aef450428400516c6642ddac7ccd
e2dfed7211a9277b4e43259cededb73b2bed90ce
e543fd34e50bba41b422095dae1582d3e90718a3
e8162589c2594823a9847495389d6d3edeaea679
e95f2c4cd4bc70c8571c951ac7bc0578d22847aa
ee25058728ee4b1fcbe45c39d06d8b577f5d3cd2
ef1cc1750f5f580aa9338b8c5c5125cfd8406f7b
f0225203ef06dd74c5619e787bcb842bfee21715
f185ce72e88cafcf94ad96f5f71278daa2a5c1e6
f3b5d39e69712947dcdc71d5738518caf53a8d98
f4a1652c439b0a46218f08a11c913cab04895d84
f637469861d7933ca1e0b5940cd65008fe852ae6
fb52f09ca044e707dc435417c8fdd3a9e9949bee