ハッシュ / 情報
SHA2565933dcc6e1411448bf62c554b4ff7b437665bcd8ad3ee37ed30253d6603d1e98
MD5f810d507322c18715f2742225379bb01
SHA113a0199e99808f1bf0b5012d531a2112e426f10e
ImpHashf34d5f2d4577ed6d9ceec516c1f5a744
ファイル Adi╨ù╨░╤Å╨▓╨║╨░ ╨╜╨░ ╨╖╨░╨║╤â╨┐╨║╤â ╤é╨╛╨▓╨░╤Ç╨░_╤â╤ü╨╗╤â╨│╨╕ 750.exe
ファイル種別exe
サイズ1,373,696 bytes
初回確認2024-08-17

Tehdit 値lendirmesi

Bu ornek, saldırganlara ele gecirilen sistemler uzerinde tam uzaktan kontrol imkani sunan bir RAT (Uzaktan Erisim Trojanı) olarak tespit edilmistir. Keylogging, ekran goruntüsü alma, dosya yonetimi ve kabuk erisimi gibi kapsamlı gozetleme yeteneklerine sahiptir.

検出された機能

  • Uzaktan Erisim
  • Keylogging
  • Ekran Goruntüsü
  • ファイル Yonetimi
  • Kabuk Erisimi

MalwareBazaar タグ

exeRATremcosRemcosRAT

解析メモ

Bu ornek RemcosRAT ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

RemcosRAT — マルウェアプロファイル

RemcosRAT - BreakingSecurity.net tarafindan lisansli satilan uzaktan erisim araci. Mesbru pentesting araci olarak satilsa da kriminal aktörler tarafindan yaygin kullanilir. Process hollowing, keylogger, clipboard/audio/screenshot izleme, Chrome kimlik bilgisi hirsizligi, UAC bypass, TLS 1.3 sifreli C2.

マルウェアの種類
RAT
プログラミング言語
C++
C2プロトコル
TCP/RC4
標的システム
Windows
別名 (AKA)
Remcos, Breaking-Security

技術詳細

TCP port 2404 (varsayilan), RC4 veya XOR sifreleme, C++ ile gelistirilmis, PE injection, UAC bypass (CMSTPLUA), AMSI bypass, Anti-debug (GetTickCount/RDTSC), DGA destekli C2, Keylogger, Screenshot, Audio

アトリビューション / 脅威アクター

Breaking Security firmasinin isvicre tabanli olmasi nedeniyle ilk gelistirme AB'de gerceklestirilmistir; ancak surekli dunya genelinde siber suclu topluluklari tarafindan kullanilmaktadir.

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (2 件の指標)

IOC — RemcosRAT
# SHA256 5933dcc6e1411448bf62c554b4ff7b437665bcd8ad3ee37ed30253d6603d1e98 # MD5 f810d507322c18715f2742225379bb01
タイプメモ
sha256 5933dcc6e1411448bf62c554b4ff7b437665bcd8ad3ee37ed30253d6603d1e98
md5 f810d507322c18715f2742225379bb01

C2サーバー (このファミリーで8台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
breakingsecurity.net domain — TCP active —
breakingsecurity.net domain — TCP active —
breakingsecurity.net domain — TCP active —
paint.net domain — TCP active —
americanshippingline.com domain — TCP active —
purl.org domain — TCP active —
adobe.com domain — TCP active —
paint.net domain — TCP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
exeRATremcosRemcosRAT