Remcos powraca (analiza techniczna)
Remcos RAT to jedno z najpopularniejszych zagrożeń ostatnich lat w polskiej sieci. Co ciekawe, również dość łatwe do rozpoznania, bowiem wektor ataku jest identyczny – podszycie się pod faktyczną korespondencję z istniejącą firmą.
Dlatego też wymarzonymi ofiarami przestępców, przeprowadzających kampanie trojana Remcos są firmy. Najlepiej małe lub średnie, bowiem w większych coraz częściej dopracowane są (a przynajmniej w to chcielibyśmy wierzyć) procedury postępowania z dokumentami przesyłanymi mailem.
„Ale to nasz klient!”
Sztuczka w przypadku Remcosa polega na tym, że napastnicy włączają się w faktyczny ciąg wymiany maili. Jakim cudem? Ano takim, że wcześniej włamują się do innej firmy, współpracującej z docelową ofiarą.
W takiej sytuacji naprawdę łatwo z rozpędu kliknąć w załącznik (w naszym przypadku usunął go antywirus jednak do CERT Orange Polska dotarł nienaruszony). I ciężko będzie nawet taką sytuację uznać na niefrasobliwą, tym bardziej, że polszczyzna jest bez zastrzeżeń. Stawiamy na to, że napastnik po włamaniu do sieci firmy o nazwie rozpoczynającej się na „Ke” przyjrzał się również formie wypowiedzi mailowych Pana Wiesława.
Co się dzieje, gdy klikniemy?
W załączniku maila znajduje się dokument: Zapytanie ofertowe.doc
MD5: 4408ca3bb0fdd89af42c33dadd1b68bc
SHA-1: f77fde97c797c3e004640a0cc2dfa4c9f4e271eb
SHA-256: a68e6f0e2de1437f0661905eee391367468d844a4ba9bdcf88a6c3636dfbe249
Vhash: 83c850cc2e830c319fe0222a02f8e1e2b
Plik wykorzystuje podatność CVE-2017-11882 na Edytor Równań (Microsoft Office Equation Editor), pobierając i uruchomiając złośliwy kod z adresu
hxxp://fresh1.ironoreprod[.]top/_errorpages/chungzx.exe
Pobrany payload z plikiem wykonywalnym zawierał Remcos RAT – komercyjne złośliwe oprogramowanie, sprzedawane w modelu Malware-as-a-Service, dedykowane do kradzieży haseł i danych dostępowych, podsłuchiwania aktywności użytkownika, czy przejęcia zdalnej kontroli nad zainfekowanym urządzeniem. Przykładem może być funkcja
take_screenshot_title: Username;password;proforma;invoice;notepad
która powoduje wykonanie zrzutu ekranu w momencie zidentyfikowania zaprogramowanych słów kluczowych.
Remcos RAT
Version: 1.7 Pro
Botnet: Independence
C2: ascoitaliasasummer.duckdns.org:3030
Plik: chungzx.exe
MD5: 1471855e22fc3165fffc6e371bc01feb
SHA-1: acd40870c767d6a4590b0ba5abe8cffad7651de5
SHA-256: 015de283d33b7b246204fad78eaede87ab7939aaa34f035d59569aec3606747d
Vhash: 29503665151320823842402d