Breaking-Security tarafından dağıtılan ve “Uzaktan Yönetim Yazılımı” olarak pazarlanan ticari bir uzaktan erişim aracı olan Remcos, dünya çapındaki kuruluşlar için önemli bir tehdit oluşturmaya devam ediyor.
İdari konumuna rağmen, aracın yetenekleri yetkisiz erişim ve veri hırsızlığı için rutin olarak silah haline getiriliyor; son analizler, birden fazla kıtada faaliyet gösteren kapsamlı C2 altyapısının varlığını ortaya koyuyor.
14 Ekim ile 14 Kasım 2025 tarihleri arasında Remcos komuta ve kontrol (C2) sunucularını takip eden son Censys araştırmasında, 150’den fazla aktif olarak çalışan C2 sunucusu tespit edildi ve bu da aracın tehdit aktörleri tarafından sürekli olarak benimsendiğinin altını çizdi.
Analiz, hem Remcos’un kötüye kullanımının ölçeğini hem de savunma amaçlı tespit ve hafifletme fırsatlarını vurgulayan karmaşık ancak öngörülebilir bir dağıtım modelini ortaya koyuyor.
Remcos, C2 altyapısıyla öncelikle HTTP ve HTTPS kanalları aracılığıyla iletişim kurar ve tanımlamayı ve izlemeyi kolaylaştıran ayrı bir bağlantı noktası kümesi kullanır.
Varsayılan bağlantı noktası 2404, gözlemlenen C2 sunucularının çoğunluğunu oluşturan en yaygın kullanılan yapılandırma olmaya devam ediyor.
Bununla birlikte operatörler, 5000, 5060, 5061, 8268 ve 8080 gibi alternatif bağlantı noktalarını kullanarak ve yasal trafikle uyum sağlamak için standart 80 ve 443 numaralı bağlantı noktalarını ek olarak kullanarak dağıtım esnekliğini gösterirler.
Bu bağlantı noktası çeşitliliği, ağ savunucuları için hem zorluklar hem de fırsatlar sunar. 80 ve 443 gibi standart bağlantı noktaları meşru web trafiğini taklit ederek algılamayı zorlaştırırken, Remcos altyapısının standart olmayan bağlantı noktalarında yoğunlaşması güvenlik ekiplerinin hedefli algılama imzaları uygulamasına olanak tanır.
Ağa izinsiz giriş tespit sistemleri, kötü amaçlı işaretçileri tanımlamak için aracın karakteristik kodlanmış POST gövdelerinden ve atipik TLS ayarlarından yararlanabilir.
Küresel Altyapı Dağıtımı
Remcos C2 altyapısının coğrafi dağılımı, ucuz, hafifçe incelenen barındırma sağlayıcılarına olan stratejik güveni yansıtmaktadır.
Censys takibi, Amerika Birleşik Devletleri, Hollanda ve Almanya’da önemli miktarda barındırma yoğunlaşması tespit etti; ikincil kümelenmeler ise Fransa, Birleşik Krallık, Türkiye ve Vietnam’da gerçekleşti.
Bu coğrafi çeşitlilik, operatörlere yedeklilik sağlarken, ilişkilendirme ve yaptırım çabalarını da karmaşık hale getiriyor.
COLOCROSSING, RAILNET ve CONTABO gibi altyapı sağlayıcıları, gözlemlenen Remcos barındırmada önemli bir paya sahip; bu da, tehdit aktörlerinin minimum düzeyde suiistimal gözetimi sunan emtia hizmetlerini tercih etmesiyle tutarlı.
Avrupa barındırma hizmetlerinde özellikle küçük sağlayıcılar arasında devam eden genişleme, operatörlerin devre dışı kalma riskini azaltmak için altyapı ayak izlerini aktif olarak çeşitlendirdiklerini gösteriyor.
Remcos, Zamanlanmış Görevler veya Çalıştırma anahtarı girişleri aracılığıyla güvenliği ihlal edilmiş sistemlerde kalıcılık sağlayarak ilk güvenlik ihlali sonrasında istikrarlı erişimi korur.
Sertifika analizi, birden fazla IP adresinde sıklıkla yeniden kullanılan SSL/TLS sertifikalarıyla şablon tabanlı yapılandırma uygulamalarını ortaya koyuyor. Bu model, küme bağlantısını mümkün kılar ve operatör dağıtım iş akışlarında minimum düzeyde karışıklık olduğunu gösterir.
Remcos C2 ana bilgisayarlarının endişe verici bir alt kümesi, Sunucu Mesaj Bloğu (SMB) ve Uzak Masaüstü Protokolü (RDP) gibi ek hizmetleri açığa çıkardı; bu da operatörlerin otomatik dağıtım mekanizmalarının yanı sıra doğrudan kontrol altyapısını da korumalarını önerdi.
Tehdit Değerlendirmesi ve Öneriler
Uzaktan komut yürütme, dosya aktarımı, tuş kaydı ve kimlik bilgisi toplama yeteneklerinin birleşimi, Remcos’u ağ izleme ve uç nokta tespiti için yüksek öncelikli bir hedef haline getirir.
Uygulama izin verilenler listesine ekleme, Zamanlanmış Görev oluşturmayı kısıtlama ve HKCU\Software\Microsoft\Windows\CurrentVersion\Run kayıt defteri değişikliklerini izleme, önemli algılama katmanları sağlar.
Altyapı ciro analizi, bazı sunucuların haftalarca veya aylarca devam ettiği, diğerlerinin ise hızla değiştiği ve uzun vadeli engelleme çabalarını karmaşıklaştırdığı karışık modelleri ortaya koyuyor.
Kuruluşlar, 2404, 5000, 5060, 5061, 8268 ve 8080 bağlantı noktalarındaki HTTP/HTTPS işaretlerini izlemeye öncelik vermelidir.
Remcos konuşlandırmalarının öngörülebilirliği, savunuculara tehditlerin proaktif olarak azaltılması için eyleme geçirilebilir istihbarat sunar. Bu hibrit yaklaşım, tamamen bilgisayarlı çerçevelere bağımlılığı azaltırken operasyonel esneklik sağlar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.