Remcos RAT svuda

AUTOR ·

Ozloglašeni sistem daljinskog upravljanja Remcos RAT je svuda u najnovijoj kampanji. Ovaj sofisticirani zlonamjerni softver dospio je u centar pažnje zbog svojih široko rasprostranjenih i ciljanih napada, posebno u istočnoj Evropi. Nedavni porast aktivnosti doveo je do toga da su Rumunija, Moldavija i susjedne zemlje postale žrtve vješto prikrivene prijetnje.

REMCOS RAT

Remcos RAT svuda; Source: Bing Image Creator

REMCOS RAT

Remcos zlonamjerni softver je zapravo legitiman alat koji prodaje njemačka kompanija pod nazivom Breaking Security pod imenom Remote Control and Surveillance i zlonamjerni akteri ga često zloupotrebljavaju. Zloupotrebljena verzija za izbjegavanje detekcije koristi ubacivanje kôda u legitimne procese da bi se izvršio zlonamjerni kôd (eng. process hollowing). Zlonamjerni softver takođe primjenjuje mehanizme postojanosti i radi u pozadini da bi se sakrio od korisnika.

Kao alatu za daljinsku kontrolu (RAT), server za komandu i kontrolu (C2) je podrazumijevana osnovna sposobnost ovog zlonamjernog softvera. Zlonamjerni saobraćaj je šifrovan na putu do C2 servera, a napadač koristi distribuirani DNS da kreira različite domene za C2 servere. Ovo omogućava zlonamjernom softveru da zaobiđe zaštitu koja se oslanja na filtriranje saobraćaja ka poznatim zlonamjernim domenima.

Remcos je sofisticirani RAT, što znači da napadaču daje punu kontrolu nad zaraženim računarom i može se koristiti u raznim napadima. Korištenjem ovog zlonamjernog alata napadač može izvršiti preuzimanje korisničkih naloga, krađu podatka ili instalaciju dodatnih zlonamjernih softvera na inficiranom uređaju.

 

ŠEMA DRUŠTVENOG INŽENJERINGA

Zlonamjerni akteri su primijenili lukav pristup za zaobilaženje odbrane poslovnih organizacija i infiltraciju, koristeći taktiku društvenog inženjeringa koja iskorištava ljudsku psihologiju. Poslovne organizacije u regionu istočne Evrope su primale elektronske poruke sa naslovom “Comanda noua” (Nova porudžbina) koje naizgled potiču od legitimnog dobavljača specijalizovanog za alatne mašine.

Predmetna elektronska pošta sadrži ZIP koja nakon otvaranja otkriva zlonamjernu izvršnu datoteku maskiranu kao listu komandi. Kada se izvršna datoteka pokrene, dolazi do oslobađanja Remcos RAT zlonamjernog softvera na uređaju žrtve. Izvršavanje ovog zlonamjernog softvera ne treba shvatiti olako, jer on napadačima omogućava daljinski pristup kompromitovanim sistemima, omogućavajući pristup za mnoge zlonamjerne aktivnosti.

Posljedice za pogođene poslovne organizacije mogu biti razorne, uključujući krađu podataka, kompromitovanje sistema, prekid rada, špijunažu i značajnu štetu reputaciji poslovne organizacije. Pored toga, pravne posljedice i posljedice usklađenosti ne mogu se precijeniti, što može dovesti do ozbiljnih finansijskih kazni i gubitka poslovanja.

 

ZAKLJUČAK

Pojava Remcos RAT zlonamjernog softvera koji zloupotrebljava ZIP datoteke uz korištenje taktike društvenog inžinjeringa naglašava značajan razvoj u kompleksnom pejzažu sajber prijetnji. Poslovne organizacije, posebno ne u ciljanom regionu istočne Evrope, moraju ostati budne i zauzeti proaktivan stav prema sajber bezbjednosti.

Borba protiv sajber prijetnji kao što je Remcos RAT zlonamjerni softver je u toku i zahteva usklađene napore organizacija, proizvođača bezbjednosnog softvera i pojedinaca. Ostajući informisani i pripremljeni, korisnici kolektivno mogu osujetiti ambicije zlonamjernih aktera i zaštititi svoje digitalno okruženje.

 

ZAŠTITA

Da bi se smanjili rizici povezani sa Remcos RAT zlonamjernim softverom, korisnici bi trebalo da primjenjuju sljedeće preporuke:

  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Korištenje sveobuhvatnih bezbjednosnih riješenja kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR). To su rješenja koja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera prije nego što dođe do značajnije štete,
  • Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
  • Edukacija zaposlenih o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomoći u identifikaciji i prijavi sajber napada,
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica,
  • Implementirati sveobuhvatna rješenja za praćenje i otkrivanje anomalne mrežne aktivnosti i potencijalne indikatore kompromisa. Praćenje u realnom vremenu omogućava brzu reakciju na incidente i ublažavanje sigurnosnih incidenata prije nego što oni eskaliraju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.