研究人员发现了利用高级规避技术部署 Remcos RAT 的新型网络钓鱼活动

阅读量29512

发布时间 : 2024-11-11 15:12:33

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/researcher-uncovers-new-phishing-campaign-deploying-remcos-rat-with-advanced-evasion-techniques/

译文仅供参考,具体内容表达以及含义原文为准。

Remcos RAT phishing campaign

Fortinet 的 FortiGuard 实验室发现了利用 Remcos RAT(远程管理工具)新变种的复杂网络钓鱼活动。该活动以一封包含恶意 Excel 文档的钓鱼电子邮件开始,该文档利用了 CVE-2017-0199 漏洞,允许攻击者在受害者的设备上远程执行代码。Fortinet 的报告指出:”Remcos 是一种商用 RAT……然而,威胁行为者滥用 Remcos 收集受害者的敏感信息,并远程控制他们的计算机以实施进一步的恶意行为。

一旦打开所附的 Excel 文件,CVE-2017-0199 漏洞就会激活,悄无声息地下载一个 HTA(HTML 应用程序)文件。“HTA文件是一个由Windows本地应用程序(mshta.exe)执行的HTML应用程序文件,”Fortinet的报告详细指出,该文件随后会下载一个名为dllhost.exe的文件到受害者的设备上。该文件用多种语言启动一系列脚本,包括 JavaScript、VBScript 和 PowerShell,以隐藏恶意代码并逃避检测。

一旦 dllhost.exe 被执行,它就会启动进程空洞化,这是一种将恶意代码注入新创建的进程 Vaccinerende.exe 的技术。该进程会隐藏代码,使其无法被标准监控工具发现。据 Fortinet 称,“恶意代码执行进程空洞化,将自己放入一个新创建的 Vaccinerende.exe 进程中”–这种技术增强了攻击的隐蔽性。为了保持持久性,恶意软件在 Windows 注册表中创建了一个自动运行条目,使其即使在系统重新启动后也能重新激活。

设置完成后,恶意软件会解密并完全在内存中运行 Remcos 有效载荷,从而避免了可能引起怀疑的传统文件存储方式。然后,Remcos RAT 会连接到一个命令与控制(C2)服务器,发送有关受害者系统的数据,如 Fortinet 所描述的 “处理器信息、内存状态、用户权限级别以及 C&C 服务器的 IP 地址”。

Remcos 的功能扩展到一系列间谍和控制功能,从键盘记录和截屏到收集运行进程列表和控制受害者设备上的程序。正如 Fortinet 指出的那样,Remcos 可以执行 “来自服务器的控制命令数据,然后在受害者的设备上执行相应的操作”,这表明了它在各种情况下的适应性。

为了保持隐蔽性,该活动采用了先进的反分析方法,包括定向异常处理、动态 API 调用和反调试技术。Fortinet 强调了 “它如何对多个 API 使用 API 挂钩技术 ”来逃避检测并阻止分析工具监控其行为。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66