レムコスラット
脅威スコアカード
EnigmaSoft脅威スコアカード
EnigmaSoft Threat Scorecards は、当社の調査チームによって収集および分析されたさまざまなマルウェア脅威の評価レポートです。 EnigmaSoft Threat Scorecards は、現実世界および潜在的なリスク要因、傾向、頻度、有病率、永続性など、いくつかの指標を使用して脅威を評価し、ランク付けします。 EnigmaSoft の脅威スコアカードは、当社の調査データと指標に基づいて定期的に更新され、システムからマルウェアを削除するソリューションを求めるエンド ユーザーから、脅威を分析するセキュリティの専門家まで、幅広いコンピューター ユーザーに役立ちます。
EnigmaSoft 脅威スコアカードには、次のようなさまざまな有用な情報が表示されます。
ランキング: EnigmaSoft の脅威データベースにおける特定の脅威のランキング。
重大度:脅威評価基準で説明されているように、リスク モデリング プロセスと調査に基づいて数値で表された、オブジェクトの決定された重大度レベル。
感染したコンピュータ: SpyHunter によって報告された、感染したコンピュータで検出された特定の脅威の確認済みおよび疑いのあるケースの数。
脅威評価基準も参照してください。
| ランキング: | 4,425 |
| 脅威レベル: | 80 % (高い) |
| 感染したコンピューター: | 26,563 |
| 最初に見た: | October 16, 2016 |
| 最後に見たのは: | August 5, 2024 |
| 影響を受けるOS: | Windows |
Remcos RAT (リモート アクセス トロイの木馬) は、Windows オペレーティング システムに侵入して制御するように設計された高度なマルウェアです。ドイツの企業 Breaking Security が合法的なリモート制御および監視ツールとして開発および販売している Remcos は、サイバー犯罪者によって悪意のある目的で頻繁に悪用されています。この記事では、Remcos RAT に関連する特性、機能、影響、防御、および Remcos RAT の導入に関連する最近の注目すべきインシデントについて詳しく説明します。
目次
展開と感染方法
フィッシング攻撃
Remcos は通常、フィッシング攻撃を通じて配布され、疑いを持たないユーザーが騙されて悪意のあるファイルをダウンロードして実行します。これらのフィッシング メールには、次のような内容が含まれることがよくあります。
請求書や注文書であると主張する、PDF を装った悪意のある ZIP ファイル。
起動時にマルウェアを展開するように設計された悪意のあるマクロが埋め込まれた Microsoft Office ドキュメント。
回避テクニック
検出を回避するために、Remcos は次のような高度な技術を採用しています。
- プロセス インジェクションまたはプロセス ホローイング: この方法により、Remcos を正当なプロセス内で実行できるため、ウイルス対策ソフトウェアによる検出を回避できます。
- 永続化メカニズム: インストールされると、Remcos は、ユーザーから隠されたバックグラウンドで実行できるメカニズムを使用して、アクティブな状態を維持します。
コマンドアンドコントロール(C2)インフラストラクチャ
Remcos のコア機能は、コマンド アンド コントロール (C2) 機能です。このマルウェアは、C2 サーバーへの通信トラフィックを暗号化し、ネットワーク セキュリティ対策によるデータの傍受と分析を困難にします。Remcos は、分散 DNS (DDNS) を使用して、C2 サーバー用に複数のドメインを作成します。この手法により、マルウェアは、既知の悪意のあるドメインへのトラフィックをフィルタリングするセキュリティ保護を回避し、回復力と持続性を高めます。
Remcos RAT の機能
Remcos RAT は、攻撃者にさまざまな機能を提供し、感染したシステムの広範な制御と悪用を可能にする強力なツールです。
権限の昇格
Remcos は感染したシステムで管理者権限を取得し、次のことが可能になります。
- ユーザー アカウント制御 (UAC) を無効にします。
- 昇格された権限でさまざまな悪意のある機能を実行します。
防御回避
Remcos はプロセス インジェクションを使用して正規のプロセス内に埋め込まれるため、ウイルス対策ソフトウェアによる検出が困難になります。さらに、バックグラウンドで実行できるため、ユーザーからその存在がさらに隠蔽されます。
データ収集
Remcos は、感染したシステムから次のような幅広いデータを収集することに長けています。
- キーストローク
- スクリーンショット
- 音声録音
- クリップボードの内容
- 保存されたパスワード
Remcos RAT 感染の影響
Remcos 感染の影響は重大かつ多面的であり、個人ユーザーと組織の両方に影響を及ぼします。
- アカウント乗っ取り
Remcos は、キー入力を記録してパスワードを盗むことで、攻撃者がオンライン アカウントやその他のシステムを乗っ取ることを可能にしており、組織のネットワーク内でのさらなるデータ盗難や不正アクセスにつながる可能性があります。 - データ盗難
Remcos は、感染したシステムから機密データを抜き出すことができます。これにより、侵害されたコンピュータから直接、または盗まれた資格情報を使用してアクセスされた他のシステムから、データ侵害が発生する可能性があります。 - 後続感染
Remcos に感染すると、追加のマルウェア亜種を展開するための入り口となる可能性があります。これにより、ランサムウェア感染などの後続の攻撃のリスクが高まり、被害がさらに悪化します。
Remcos マルウェアからの保護
組織は、Remcos 感染から保護するために、いくつかの戦略とベスト プラクティスを採用できます。
メールスキャン
疑わしい電子メールを識別してブロックする電子メール スキャン ソリューションを実装すると、Remcos がユーザーの受信トレイに最初に配信されるのを防ぐことができます。
ドメイン分析
エンドポイントによって要求されたドメイン レコードを監視および分析すると、Remcos に関連付けられている可能性のある新しいドメインや疑わしいドメインを識別してブロックするのに役立ちます。
ネットワークトラフィック分析
非標準プロトコルを使用してトラフィックを暗号化する Remcos の亜種は、ネットワーク トラフィック分析によって検出され、異常なトラフィック パターンがフラグ付けされてさらに調査される可能性があります。
エンドポイントセキュリティ
Remcos 感染を検出して修復する機能を備えたエンドポイント セキュリティ ソリューションを導入することが重要です。これらのソリューションは、確立された侵害の指標を利用してマルウェアを識別し、無効化します。
CrowdStrike の停止を悪用
最近の事件では、サイバー犯罪者がサイバーセキュリティ企業 CrowdStrike の世界的な停止を悪用して Remcos RAT を配布しました。攻撃者は、ラテンアメリカの CrowdStrike 顧客をターゲットにし、「crowdstrike-hotfix.zip」という ZIP アーカイブ ファイルを配布しました。このファイルにはマルウェア ローダーである Hijack Loader が含まれており、これが後に Remcos RAT ペイロードを起動しました。
ZIP アーカイブには、スペイン語の指示を記したテキスト ファイル (「instrucciones.txt」) が含まれており、問題から回復するために実行ファイル (「setup.exe」) を実行するようターゲットに促しています。スペイン語のファイル名と指示が使用されていることから、ラテン アメリカを拠点とする CrowdStrike の顧客を狙った標的型攻撃であることが分かります。
結論
Remcos RAT は、Windows システムに重大な脅威をもたらす強力で多用途なマルウェアです。検出を回避し、権限を昇格し、膨大なデータを収集する能力があるため、サイバー犯罪者の間で好まれるツールとなっています。その展開方法、機能、影響を理解することで、組織はこの悪意のあるソフトウェアに対する防御を強化できます。堅牢なセキュリティ対策を実施し、フィッシング攻撃に対して警戒を怠らないことが、Remcos RAT がもたらすリスクを軽減する上で重要なステップです。
SpyHunterはレムコスラットを検出して削除します
レムコスラットビデオ
ヒント:サウンドをオンにして、フルスクリーンモードでビデオを視聴します。
ファイルシステムの詳細
| # | ファイル名 | MD5 |
検出
検出: SpyHunter によって報告された、感染したコンピューターで検出された特定の脅威の確認済みおよび疑いのあるケースの数。
|
|---|---|---|---|
| 1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
| 2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
| 3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
| 4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
| 5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
| 6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
| 7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
| 8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
| 9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
| 10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
| 11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
| 12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
| 13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
| 14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
| 15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
| 16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
| 17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
| 18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
| 19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
| 20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
| 21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
レジストリの詳細
ディレクトリ
レムコスラット は、次のディレクトリまたはディレクトリを作成する場合があります。
| %ALLUSERSPROFILE%\task manager |
| %APPDATA%\Badlion |
| %APPDATA%\Extress |
| %APPDATA%\GoogleChrome |
| %APPDATA%\JagexLIVE |
| %APPDATA%\Remc |
| %APPDATA%\Shockwave |
| %APPDATA%\appdata |
| %APPDATA%\googlecrome |
| %APPDATA%\hyerr |
| %APPDATA%\loader |
| %APPDATA%\pdf |
| %APPDATA%\remcoco |
| %APPDATA%\ujmcos |
| %APPDATA%\verify |
| %APPDATA%\windir |
| %AppData%\remcos |
| %PROGRAMFILES(x86)%\Microsft Word |
| %TEMP%\commonafoldersz |
| %TEMP%\remcos |
| %Userprofile%\remcos |
| %WINDIR%\SysWOW64\Adobe Inc |
| %WINDIR%\SysWOW64\remcos |
| %WINDIR%\SysWOW64\skype |
| %WINDIR%\System32\rel |
| %WINDIR%\System32\remcos |
| %WINDIR%\notepad++ |
| %WINDIR%\remcos |
