思科Talos情报组：拆解分析Remcos僵尸网络(含部分样本)

275751198

原文地址https://blog.talosintelligence.c ... g-apart-remcos.html

思科Talos最近观察到的多个活动，利用了remcos远程访问工具（RAT），该工具由一家名为Breaking Security的公司提供销售。同时公司表示，它只把软件卖给合法使用者，并将撤销没有按照协议的用户的许可证。然而RAT工具的出售完全满足了建立和运行一个潜在的非法僵尸网络的需要。
除了Remcos，Breaking Security还提供Octopus Protector，Cryptor旨在让恶意软件通过加密自身来逃过的反恶意软件产品的检测。它公布了一段youtube视频来展示其有效逃避多款杀毒软件的能力。另外该公司提供的产品包括键盘记录器，它可以用来记录和发送了受感染的系统按键，一键邮件群发这可以用来发送大量的垃圾邮件，以及可以利用妥协的指挥控制（C2）通信。结合remcos提供所有的工具，满足了建立和维护一个僵尸网络的需要。

思科Talos已经观察到一些恶意软件活动试图传播remcos给受害者。由于Remcos的广告在众多黑客论坛出售，我们相信，众多黑客正在利用这种恶意软件使用多种不同的方法来感染系统。今年早些时候，RiskIQ（一家网络安全初创公司）发表一份报告，攻击者瞄准了土耳其国防承包商。Talos已经确认，除了国防承包商，这种攻击也针对其他组织如：
国际新闻机构;
在海事和能源部门运营的柴油设备制造商和服务提供商;
在能源部门内运营的HVAC服务提供商

通过观测所有的攻击活动，攻击开始于用土耳其语特制的鱼叉式网络钓鱼电子邮件。电子邮件看起来好像他们来自土耳其政府机构，声称与受害者的组织申报相关。下面是一个电子邮件的一个例子：



攻击者努力使这些电子邮件看起来像是来自土耳其税务局GelirİdaresiBaşkanlığı（GIB）的官方通信，土耳其税务局在财政部下运作，负责处理土耳其的税务职能。正如许多鱼叉式网络钓鱼活动，恶意的微软办公文件作为电子邮件的附件。而这些文件大部分是Excel的表格，我们也观察到同样的攻击者利用Word文档。在许多情况下，该文件的内容被故意模糊的方法引诱受害者启用宏，以查看内容。下面是这些活动之一，已经看起来好像是税收相关的字文档实例：0
在RiskIQ报告称，这些文件中的宏包含一个小的可执行文件，嵌入到一系列的阵列形式的文件。这个简单的可执行文件用于下载执行remcos恶意软件。remcos是一个有效的RAT，可用于监视击键，以远程屏幕捕捉，管理文件，在受感染的系统里执行命令。我们已经观察到与这些活动相关联的分发服务器托管几个除remcos以外的恶意的二进制文件。0
正如前面提到的，一家名为Breaking Security的公司已经在他们的网站上销售产品remcos和其他可疑软件。有没有关于公司或其背后的在其网站的细节呢？。本网站是，然而，单增值税（增值税）数（de308884780），表明该公司是在德国注册的。有趣的是，你可以在网站查找任何欧盟（欧盟）国家公司的名字和公司地址除了德国。德国不共享这些信息，由于对隐私的关注。因为Breaking Security是在德国注册的，我们无法确定的名字和地址的个人背后的公司。然而，我们能够找出一些蛛丝马迹，给我们一些灵感谁是可能是公司的幕后人。0
下面这段实在不想翻译了，是关于如何通过增值税号，IP地址，邮箱等确定一个名为Viotto的人应该是该公司的幕后人。0
部分样本的hash列表https://alln-extcloud-storage.ci ... s/5b7d854a894cb.txt

solstice1988

这个文章应该扔别的区吧

记录微笑