Всплеск атак с использованием Remcos RAT: кража учетных данных через поддельные документы

Remcos позиционируется как коммерческое легальное программное обеспечение для удаленного управления компьютерами, которое может использоваться в целях наблюдения и тестирования на проникновение. Однако злоумышленники активно применяют его в хакерских кампаниях. После установки Remcos создает бэкдор на устройстве, предоставляя удаленному пользователю полный контроль над системой.

Эксперты CyberProof выяснили, что злоумышленникам удалось обойти системы защиты конечных точек (EDR, Endpoint Detection and Response) с помощью высокообфусцированного кода. Атака включала внедрение кода Remcos в процесс RMClient - файл, распространяемый Microsoft. Это позволило злоумышленникам получить доступ к данным браузеров, включая сохраненные пароли.

Основной мотивацией кампаний считается кража учетных данных через целевые атаки. Исследователи предполагают, что злоумышленники скомпрометировали ряд легитимных веб-сайтов для размещения дополнительных файлов в рамках операции. Хотя финансовый сектор пострадал больше всего, реальная опасность заключается в последствиях успешного взлома. Поскольку кампания была сосредоточена на хищении учетных данных, успешное проникновение может предоставить злоумышленникам долгосрочный доступ к ценным системам, что создает предпосылки для более масштабных и катастрофических атак в будущем.

Технические детали инцидента, обнаруженного исследователями CyberProof, показывают четкую последовательность действий. Пользователь получил электронное письмо с вложением под названием ‘EFEMMAK TURKEY INQUIRY ORDER NR 09162025.gz’. После извлечения архива в папке временных файлов была создана пакетная команда, которая запустила обфусцированный сценарий PowerShell.

Сценарий инициировал скрытый процесс PowerShell и использовал пользовательские функции для деобфускации строк, таких как ‘Lotusblo’ и ‘Garrots’. Он настроил веб-запросы на использование TLS 1.2 и пользовательской строки User-Agent, после чего попытался загрузить файл с домена hxxps://icebergtbilisi.ge/Sluknin.afm в путь C:\Users\<имя_пользователя>\AppData\Roaming\Hereni.Gen. После успешной загрузки содержимое файла было декодировано из Base64 и распаковано с помощью GZip, а затем передано на выполнение через Invoke-Expression.

Далее сценарий запустил процесс msiexec.exe, который использовал технику process hollowing (подмены процесса) для внедрения в легитимный процесс RMClient.exe. Внедренный код Remcos пытался получить доступ к файлам с сохраненными паролями браузера, что вызвало частичные оповещения системы защиты.

Хэш файла RmClient (‘8f6a3b111f6e0498cb677b175966175bfa53e58c9fb41ddb63c7b7568e24c760’), участвовавшего в инциденте, соответствует файлу, распространяемому Microsoft, что подтверждает использование легитимного ПО для маскировки вредоносной активности. Анализ сетевых соединений показал, что msiexec.exe устанавливал исходящие подключения к IP-адресу 89.238.176[.]5 через нестандартный порт 57864, что соответствует тактикам T1095 и T1571 по фреймворку MITRE ATT&CK.

IPv4 Port Combinations

• 89.238.176.5:57864

Domains

• Ablelifepurelife.ydns.eu
• ablelifepurelifebk.ydns.eu
• icebergtbilisi.ge

SHA256

• 3ec5b13ee66d84dd75ac619ebb79c64cef7986dd6e8049f689f9ac39c272fea2
• 5cb34177d0289e9737e5a261b8d1aac227656b96c768f789d6fcc9bc20adb05e
• 5eb460204cd0f5510b146b8465b4392e9d0795b5d7fdb51b1c1429f97593a4b3