Remcos RAT IOCs - Part 21

remote access Trojan IOC
Опубликовано

В результате анализа обнаруженного Forcepoint документа Word (FAKTURA.docx), был выявлен троян Remcos Remote Access Trojan (RAT). Этот вредоносный программный код предоставляет злоумышленникам полный контроль над зараженной системой и может использоваться для кражи данных и шпионажа. Распространение трояна осуществляется через офисные файлы, и понимание этого процесса поможет бороться с данной угрозой.

Remcos RAT

Анализ обнаруженного файла показал, что он содержит сокращенный URL-адрес, который перенаправляет на загрузку вредоносной программы Equation Editor в формате RTF. С использованием уязвимости Equation Editor, вредоносный код пытается загрузить скрытый VB-скрипт, состоящий из длинной последовательности объединенных переменных и строк, вероятно, закодированных или обфусцированных. Эти строки представляют собой закодированную полезную нагрузку, которая может быть выполнена позже.

Далее, VB-скрипт декодируется в код PowerShell, который пытается загрузить вредоносный бинарный файл через изображение, использующее стеганографию, и строку, которую ранее закодировали в формат Base64. Несмотря на вызов командно-контрольного пункта (C2), также наблюдается переподключение TCP, что указывает на недоступность C2 в данный момент.

В рамках дальнейшего анализа было выявлено, что вредоносный файл был распространен через электронное письмо с прикрепленным документом в формате .docx. Анализ содержимого письма выявил сокращенный URL-адрес, который в свою очередь перенаправлял на документ в формате doc, содержащий уязвимость CVE-2017-0199. Для маскировки реального адреса, злоумышленник использовал сервис сокращения URL.

Кроме того, в папке "\word\embeddings" были обнаружены файлы oleObject bin, в которых содержатся встроенные PDF-файлы. Однако данные файлы представляют собой обычные банковские транзакции и не являются вредоносными.

Изучение цепочки заражения позволило постепенно разобраться в механизме распространения трояна. Процессом инфицирования начинается с открытия прикрепленного вредоносного .docx файла, после чего эксплуатируется уязвимость Equation Editor. Затем, через декодирование и обфускацию кода, выполняется загрузка вредоносного файла на целевую машину.

Несмотря на то, что некоторые URL-адреса, используемые в данной атаке, в настоящее время неактивны, анализ показал, что эти адреса ранее перенаправляли на другие вредоносные файлы. Понимание и анализ таких атак помогает предотвратить подобные инциденты и защитить системы от троянов и других вредоносных программ.

Indicators of Compromise

IPv4 Port Combinations

  • 94.156.66.67:2409

Domains

  • belgom.duckdns.org
  • fordede.duckdns.org
  • logili.duckdns.org
  • newsat.duckdns.org

URLs

  • http://96.126.101.128/43009/mnj/lionskingalwaysbeakingofjungletounderstandhowfastthekingofjunglereturnewithentirethingstogetmebacktothegame___lionsarekingofjunglealways.doc
  • http://96.126.101.128/43009/NGB.txt
  • http://ilang.in/QNkGv
  • https://paste.ee/d/HdLtf
  • https://uploaddeimagens.com.br/images/004/785/720/original/new_image.jpg?1716307634

Emails

  • export@aautomatotools.store
  • info@cieloqistics.com
  • info@pluse-tr.com
  • info@tongunpano.icu

SHA1

  • 539deaf1e61fb54fb998c54ca5791d2d4b83b58c
  • 83505673169efb06ab3b99d525ce51b126bd2009
  • 9740c008e7e7eef31644ebddf99452a014fc87b4
  • f1d760423da2245150a931371af474dda519b6c9
Похожие записи:
  1. Remcos RAT (Remote Access Trojan) IOC
  2. Remcos RAT IOCs
  3. Remcos RAT IOCs - Part 2
  4. Remcos RAT IOCs - Part 3
  5. Remcos RAT IOCs - Part 4
CVE-2017-0199 Forcepoint Rat Remcos
SEC-1275-1
Добавить комментарий