TTL OSINT

Remcos RAT распространяется в виде Uuencoded (UUE) файла

Аналитический центр безопасности AhnLab обнаружил, что троян Remcos Remote Access (RAT) распространяется с помощью файлов UUEncoding (UUE), сжатых с помощью Power Archiver. Файлы UUE, замаскированные под электронные письма об импорте/экспорте поставок или ценовых предложений, содержат запутанный скрипт VBS, который загружает и выполняет дополнительные сценарии PowerShell для загрузки шеллкода в процессе wab.exe, сохраняя постоянство и получая доступ к удаленному серверу для получения дополнительных данных. Вредоносная программа собирает системную информацию, сохраняет данные кейлогга и отправляет их на сервер управления (CC). Чтобы предотвратить запуск нежелательных функций, пользователи должны поддерживать высокий уровень безопасности, обновить ядро защиты от вредоносных программ до последней версии и подписаться на платформу анализа угроз AhnLab для получения соответствующей информации о IOC и подробного анализа.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://asec.ahnlab.com/en/66463/

Выборочные показатели Compromise:

• 7e6ca4b3c4d1158f5e92f55fa9742601
• http://194.59.30.90/mtzDpHLetMLypaaA173.bin
• b066e5f4a0f2809924becfffa62ddd3b
• eaec85388bfaa2cffbfeae5a497124f0
• fd14369743f0ccd3feaacca94d29a2b1

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал