СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.04.2025
#ИБ#Инфра

Обнаружение REMCOS: Новая угроза в киберпространстве

Обнаружение REMCOS: Новая угроза в киберпространстве

Источник: asec.ahnlab.com

Аналитический центр безопасности Ahnlab (ASEC) сделал тревожное открытие, касающееся распространения вредоносного ПО REMCOS, которое маскируется под законный носитель. В этом отчете раскрываются ключевые аспекты методологии атаки, а также подчеркивается важность бдительности пользователей.

Методология атаки

Вредоносное ПО REMCOS использует сложные методы для скрытного внедрения в целевые системы:

  • Использование HTML-файла, который запускает JavaScript-скрипт.
  • Загрузка файла с именем «747031500_d747031500_A.JS» при взаимодействии с HTML-файлом.
  • Кодирование JavaScript для маскировки вредоносного содержимого и создания URL-адреса большого двоичного объекта.

Процесс выполнения

После загрузки JavaScript-кода происходит выполнение следующих операций:

  • Извлечение и удаление фиктивных кодов, которые могут выявить реальные вредоносные инструкции.
  • Создание и вызов дополнительных файлов, включая файл управления с именем «KNKFCUTOGCHUNSG.BLS».
  • Использование вредоносного скрипта автозагрузки (fdilfn.dll) для обеспечения работоспособности на зараженном компьютере.

Скрытность и стойкость

Архитектура вредоносного ПО REMCOS включает в себя:

  • Использование обычного процесса «regsvcs.exe» для выполнения команд.
  • Внедрение REMCOS Remote Access Tool (RAT), что позволяет выполнять удаленные команды от сервера управления (C2).
  • Действие скрытно, используя обычные процессы для маскировки своего присутствия.

Заключение и рекомендации

Данный анализ подчеркивает необходимость для пользователей сохранять бдительность в отношении нежелательных сообщений электронной почты. Кроме того, эксперты рекомендуют:

  • Регулярное обновление паролей для предотвращения потенциальных взломов.
  • Обращение внимания на растущую тенденцию использования законных платформ в качестве серверов C2.

Подводя итог, эксперты ASEC обращают внимание на важность повышения осведомленности и принятия упреждающих мер в области кибербезопасности для защиты от новых угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: