Remcos RAT IOCs - Part 14

CERT-IT была обнаружена кампания по распространению вредоносной программы Remcos в Италии. Remcos не является новой вредоносной программой для Италии и широко описана в литературе. В этой кампании важна не столько сама вредоносная программа, сколько методы ее распространения.

В основе кампании лежит ложное сообщение от Agenzia delle Entrate, в котором жертвам предлагается перейти по ссылке, чтобы получить доступ к "налоговому ящику" (Cassetto fiscale) и таким образом увидеть несоответствия в периодических расчетах по НДС. Вредоносная программа, наиболее часто использующая тему Agenzia delle Entrate, - Ursnif, которая уже несколько лет использует исключительно эту тему. Эта тема характерна не только для Ursnif, но и для других вредоносных программ, таких как IcedId, PureLogs, Mekoito, наиболее распространенных, но в гораздо меньшей степени. На приведенном ниже графике показана разница в количестве вредоносных кампаний, использующих тему Inland Revenue:

Файл, загружаемый по ссылке, представляет собой ZIP-архив, не содержащий никаких документов, а файл-ссылку, указывающий на SMB-ресурс, содержащий исполняемый файл. Этот ресурс размещен на удаленных серверах, расположенных в России и находящихся в той же подсети, что и серверы, используемые Ursnif в других кампаниях.

Техника использования ссылок на SMB-ресурсы применяется только Ursnif. Вместе с используемой темой это является вторым элементом сходства с методами распространения вредоносной программы Ursnif. То, что вредоносная программа Remcos распространяется подобно Ursnif, дает интересную пищу для размышлений.

Indicators of Compromise

IPv4

• 62.173.141.114
• 62.173.141.116
• 62.173.141.118
• 62.173.146.111
• 62.173.146.112

Domains

• ahhsjcei.page.link
• bzbgyvzv.page.link
• listpoints.click
• listpoints.online
• retghrtgwtrgtg.bounceme.net

URLs

• http://2sdata.ma/centro/index.php
• http://ccforteza.com/centro/index.php
• http://cursoamigurumipassoapasso.com.br/centro/
• http://cursoamigurumipassoapasso.com.br/centro/index.php
• http://diamondcity.vn/centro/index.php
• http://ercyazilim.com/centro/index.php
• http://insights.dothome.co.kr/centro/index.php
• http://jornalnovaepoca.com.br/centro/
• http://jornalnovaepoca.com.br/centro/index.php
• http://novak-home.com/centro/index.php
• http://pablobreijo.es/centro/
• http://pablobreijo.es/centro/index.php
• http://sev1-thaihometown.com/centro/index.php
• http://spst.hqup.in/centro/index.php
• http://ssjayatama.com/centro/index.php
• http://villanyzsolti.hu/centro/index.php
• http://www.aij.be/centro/index.php
• https://ahhsjcei.page.link/RUAzHGzAFJ9iB7hZ9
• https://akbmwixg.page.link/MpeNn7HyjWW51Y9QA
• https://bxhpskqk.page.link/b12EChmqyMk29w6C7
• https://bzbgyvzv.page.link/enxgwvuW9vdv66Gi8
• https://dojcgsef.page.link/xaNEkhSimGmNpHLg8
• https://elqunxck.page.link/FHuJcUfNyfJwM5V47
• https://epcmtyqq.page.link/m765YEUiwV9sWPWJ6
• https://ffmalzya.page.link/TTQDUSxR4JmQQkoV8
• https://fiahsina.page.link/jVQDE8nSTeBRraWh9
• https://gnzcpsuz.page.link/9kqmdf1HpM23WtBY8
• https://lvtanjpj.page.link/YxM9LurwMssM17E49
• https://mag-etegra.com.my/centro/index.php
• https://rawhcysd.page.link/NhwJZXvum8nrTkEs6
• https://tqxzrrpz.page.link/A6qCqcMe5WcaiNdy5
• https://vsukpjqs.page.link/ukC9azntGe9ieYwK9
• https://wkwaownk.page.link/m7aVQcGTK2hnZDji9
• https://zaedwtjq.page.link/rpJCaCWT7bbVeSbu8
• https://zcuvrtex.page.link/ZdDDMmLGmyy1ntq69

MD5

• 6fefe745972ef2d77364a4aed53505ce
• 7b78c86f87e2e733e8be1c309ac4b783
• 7fd440064df178661b042a375d72da7c
• cc507bb5e5c78964fea686d422d29c86
• e19f8eef1818ba212069bf10e7b85aba
• f90ed1beee9c57a0557f3526b6cdbca1

SHA1

• 097ff283d63099811177e490b350f71628f8dfe5
• 460767980e467e14448ad0a9ace7baddcf939159
• 4e82b4108efd2ac626033b56a4cc47ca8f9849c4
• 714bbdc6863a88bf7ba7e4e88fb56095a1f9e32b
• 88285addeabd1f4f4655d8bea644adad81548015
• 9b6adbaa8112fe54021375d2fceaeedc65fd2b60

SHA256

• 1405f797cc7e476dec0897afdd56154d7ba709831b17ca6eb4088f64233225b1
• 3f631c04c084cad9373730dad3b838b4c4f4d079e825ccffdab3b09d12b027c2
• 48d0a811efd58c77dc68d963b5a32a65b6467192bea84360b77b840d742ae05a
• 7b867bf9362689c757c63ce2c9c7213bd0abe5c8960289c82a1f0d86fafc964d
• ddc2aea1f10139a14a2bb8040e5a6b7cb19b2eaa3d682fea0c79a17b3a31a1ca
• ef9982ce0b9a6a27c0fccc7017093b567663e1ab30bee707bb4316dbfa5e6793