Remcos RAT (Uzaktan Kontrol ve Gözetleme), bir bilgisayar sistemine yetkisiz erişim ve kontrol için kullanılan bir Uzaktan Erişim Truva Atı türüdür.
Tehdit aktörlerinin aşağıdakiler gibi çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanır: –
- Casusluk
- Veri hırsızlığı
- Etkilenen sistemin uzaktan kontrolü
Uptycs’teki siber güvenlik araştırmacıları yakın zamanda UAC-0050 tehdit grubunun Ukrayna’yı hedef almaktan kaçınmak için Remcos RAT boru yöntemini aktif olarak kullandığını keşfetti.
Tehdit aktörleri süreçler arası iletişim için bu boru yöntemini uyguladı.
RemcosRAT kullanan UAC-0050
Uptycs, 21 Aralık 2023’te şüpheli bir .lnk dosyasını işaretleyerek siber güvenlik araştırmacılarını araştırmaya yöneltti.
UAC-0050’yi, Ukrayna devlet kurumlarına yönelik odaklı bir siber operasyonda RemcosRAT kullanarak buldular.
Saldırının kaynağı (muhtemelen kimlik avı veya spam e-postaları) belirsizliğini koruyor, ancak bu saldırı, karmaşık bir kisveyle askeri ağlara sızmayı amaçlayan, Ukrayna ordusuna IDF’nin bir iş teklifi gibi göründü.
Bir LNK dosyası, word_update.exe’yi indirmek için bir PowerShell betiğini tetikleyen bir VBS betiği içeren HTA indirmesini başlatır.
Word_update.exe başlatıldığında, explorer.exe belleğindeki RemcosRAT’a giden bir kanal aracılığıyla verileri paylaşan cmd.exe yürütülür.
Bir Windows kısayolu olan .lnk dosyası, araştırmanın başlangıç noktasıdır. Bu vakanın .lnk dosyası antivirüs bilgilerini kontrol eder, bu da ‘Windows Defender’ı ‘çıkış’ ifadesini önleyecek şekilde değiştirir ve bu da komut dosyasının sürekliliğini sağlar.
.lnk dosyası, gizlemenin kaldırılmasının ardından MSHTA aracılığıyla yürütülen karartılmış bir URL ile sonlanır. Araştırmacılar, içeriği tamamen gizlenmiş bir VBScript’i ortaya çıkaran “6.hta” dosyasını analiz ediyor.
Ancak bunun yanı sıra, VBScript’in gizliliği kaldırıldıktan sonra bir PowerShell betiği ortaya çıkar.
Gizleme çözme, kodlanmış verilere sahip başka bir PowerShell betiğine yol açan $hQkGkZK’yi ortaya çıkarır. Uptycs, aşağıdaki kaynaklardan yüklerin (word_update.exe, ofer.docx) izlenmesine yardımcı olan şüpheli PowerShell etkinliklerini işaretler: –
Dosyalar “%appdata%” dizinine yerleşir ve “word_update.exe”, değiştirilmiş adlarla kendi kendine bir kopya oluşturur. Bu arada kötü amaçlı yazılım, açılışta fmTask_dbg.exe dosyasını başlatarak LNK dosyası aracılığıyla kalıcılığı sağlıyor.
Bunun yanı sıra fmTask_dbg.exe, Remcos RAT’ı çalıştırarak verileri cmd.exe’ye taşımak için boruları kullanan şifre çözme işlemine tabi tutulur.
RemcosRAT, cmd.exe belleğinden çıkarılır ve ardından CyberChef’i kullanarak yükün Kaynak bölümündeki RC4 ile şifrelenmiş verilerin şifresini çözer.
Bu arada tespit edilen Remcos 4.9.2 Pro sürümü, kurbanın bilgisayar adı ve kullanıcı adı gibi bilgilerini topluyor.
Aşağıdaki web tarayıcılarından çerezler ve oturum açma verileri RemcosRAT tarafından kaldırıldı:-
- İnternet Explorer
- Firefox
- Krom
Öneriler
Aşağıda Uptycs araştırmacıları tarafından sağlanan tüm tavsiyelerden bahsettik: –
- Spam tespiti için gelişmiş e-posta filtrelerini etkinleştirdiğinizden emin olun.
- Belirlenen spam e-postalardaki bağlantılara tıklamaktan veya ekleri açmaktan kaçının.
- Anormal iletişim modellerini tespit etmek için ağ izleme araçlarını kullanın.
- Sistem yapılandırmalarını düzenli olarak analiz edin ve güvence altına alın.
- Gereksiz hizmetleri ve başlangıç girişlerini devre dışı bırakın.
- Gereksiz hizmetleri ve başlangıç girişlerini yakından izleyin.
- Olağandışı etkinlikleri belirlemek için davranışsal analiz araçlarının kullanıldığından emin olun.
- RAT’ların kalıcılık sağlamaya yönelik girişimlerini tespit edin ve önleyin.