Breaking-Security tarafından dağıtılan ve yönetim yazılımı olarak pazarlanan ticari bir uzaktan erişim aracı olan Remcos, siber güvenlik alanında ciddi bir tehdit haline geldi.
2010’ların ortalarında geliştirilen bu kötü amaçlı yazılım, saldırganların HTTP veya HTTPS kanallarını kullanan komut ve kontrol sunucuları aracılığıyla uzaktan komutlar yürütmesine, dosyaları çalmasına, ekran yakalamasına, tuş vuruşlarını günlüğe kaydetmesine ve kullanıcı kimlik bilgilerini toplamasına olanak tanır.
Hem ücretsiz hem de ücretli sürümleriyle meşru bir yazılım olarak konumlandırılmasına rağmen, yetkisiz kopyalar, veri hırsızlığı ve yetkisiz sistem erişimi amacıyla yaygın olarak aktif olarak kullanılmaktadır.
Kötü amaçlı yazılım, kötü amaçlı ekler ve güvenliği ihlal edilmiş web sitelerinde barındırılan dosyalar içeren e-posta kampanyaları yoluyla yayılır.
Saldırganlar ayrıca Remcos’u ikinci aşama yük olarak sunmak için GuLoader ve Reverse Loader gibi özel yükleyiciler kullanıyor ve böylece ilk tespit sistemlerini atlatabiliyorlar.
Kötü amaçlı yazılım yüklendikten sonra kalıcılık sağlar ve kontrol altyapısıyla sürekli iletişimi sürdürerek devam eden saldırılar için güvenilir bir arka kapı oluşturur.
Censys güvenlik analistleri, 14 Ekim ile 14 Kasım 2025 tarihleri arasında dünya çapında 150’den fazla aktif Remcos komuta ve kontrol sunucusunu sürekli olarak izlediklerini belirtti.
Altyapı
Bu önemli altyapı, aracın tehdit aktörleri arasında yaygın şekilde benimsendiğini gösteriyor.
Sunucular genellikle Remcos için varsayılan seçim olan 2404 numaralı bağlantı noktasında çalışıyordu; 5000, 5060, 5061, 8268 ve 8808 numaralı bağlantı noktalarında gözlemlenen ek etkinlik, operatörlerin dağıtım stratejilerindeki esnekliğini gösteriyor.
.webp)
C2 İletişim Ağlarını anlamak, Remcos’un kontrolü nasıl elinde tuttuğunu ortaya çıkarır. Kötü amaçlı yazılım, öngörülebilir bağlantı noktalarında HTTP ve HTTPS protokolleri aracılığıyla iletişim kurar; ağ trafiği sıklıkla kodlanmış POST istekleri ve farklı modeller oluşturan olağandışı TLS yapılandırmaları içerir.
Operatörler genellikle sertifikaları birden fazla sunucuda yeniden kullanır, şablon tabanlı kurulumlar kullanır ve Amerika Birleşik Devletleri, Hollanda, Almanya ve diğer ülkelerde COLOCROSSING, RAILNET ve CONTABO gibi ucuz barındırma sağlayıcılarından yararlanır.
Bu altyapı modeli, ağ savunucularının algılama noktalarındaki iletişimleri tanımlamasına ve engellemesine olanak tanır.
Tespit edilen kalıcılık mekanizmaları, Zamanlanmış Görevler ve Kayıt Defteri Çalıştırması anahtarı girişlerini içerir ve saldırganların sistem yeniden başlatıldıktan sonra bile erişimi sürdürmesine olanak tanır.
Komut yürütme, dosya aktarım yetenekleri ve dayanıklı kalıcılığın bu kombinasyonu, Remcos’u özellikle zayıf güvenlik kontrollerine sahip, anında ağ izleme ve uç nokta algılama önlemleri gerektiren kuruluşlar için tehlikeli hale getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
