One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8527373 |
| Date de publication | 2024-06-28 17:46:36 (vue: 2024-06-28 18:07:20) |
| Titre | Le raccourcissement d'URL dans un fichier Word Microsoft qui mène à Remcos Rat URL Shortener in a Microsoft Word File that Leads to Remcos RAT |
| Texte | ## Instantané Les analystes de ForcePoint ont identifié une nouvelle méthode de distribution des REMCO (télécommande et surveillance) à distance d'accès à distance (rat) via des documents de mots malveillants contenant des URL raccourcies. ## Description Le Remcos Rat malware accorde aux attaquants un contrôle total sur un système infecté, permettant le vol de données, l'espionnage et d'autres activités malveillantes.L'attaque commence lorsqu'un e-mail contenant une pièce jointe .docx est livré.L'attaque commence par un e-mail contenant une pièce jointe .Docx, qui conduit au téléchargement du Remcos Rat via une variante du malware d'éditeur d'équipement au format RTF.Le malware exploite la vulnérabilité de l'éditeur d'équation ([CVE-2017-11882] (https://security.microsoft.com/intel-explorer/cves/cve-2017-0199/)) pour télécharger un script VB, qui deobfuscats à PowerShellCode tentant de télécharger un binaire malveillant via l'image stéganographique et les chaînes encodées de base64 de base64.L'utilisation d'URL raccourcies dans des documents de mots pour distribuer le Remcos Rat met en évidence l'évolution des tactiques des cybercriminels, soulignant l'importance de comprendre la chaîne d'infection et de reconnaître les signes de telles attaques pour mieux protéger contre ces menaces. ## Analyse supplémentaire Remcos Rat est couramment déployé via le phishing en utilisant plusieurs types d'attachements malveillants.Par exemple, en 2023, [chercheurs de contrôle observés] (https://security.microsoft.com/intel-explorer/articles/12418076) Une campagne de phishing à grande échelle ciblant les organisations colombiennes utilisant des accessoires Zip, RAR ou TGZ pour distribuer les logiciels malveillants.[AhnLab Security Intelligence Center (ASEC) a également observé] (https://asec.ahnlab.com/ko/65790/) REMCOS RAT distribué via des fichiers Uue compressés. Remcos est un rat polyvalent car il fournit aux attaquants un contrôle étendu sur un système infectieux, facilitant une variété d'activités malveillantes.Les impacts clés d'une infection REMCOS peuvent inclure: - ** Takeover du compte: ** Remcos est apte à capturer les mots de passe et le keylogging à partir de systèmes compromis, permettant aux attaquants de contrôler Séeze des comptes en ligne et d'autres systèmes, de voler des informations sensibles, d'établir de la persistance et de dégénérer les privilèges. - ** Vol de données: ** Au-delà des touches de journalisation et des informations d'identification, les Remcos ont la capacité de collecter et de transmettre d'autres données d'une organisation, permettant aux attaquants de mener des violations de données. - ** Infections de suivi: ** REMCOS permet aux attaquants d'introduire des logiciels malveillants supplémentaires à un appareil infecté.Par conséquent, une infection par REMCOS pourrait entraîner des menaces plus réduites telles que des ransomwares ou une autre attaque de suivi. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:msil/remcos&Thereatid=-2147222251) * - * [BackDoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backdoor:win32/remcos& ;theretid=-2147238996) * - * [Backdoor: JS / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos&Thereatid=-214707070418) * * - * [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/remccOS & menaceID = -2147239341) * - * [Trojan: MSIL / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encyclopedia-dercription?name=trojan:msil/remcos.mbdk!mtb& ;troatid=-2147121620) * |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **account **data **follow **microsoft 0199/ 11882 2017 2023 2024 2147070418 2147121486 2147121620 2147222251 2147238996 2147239341 365/security/defender 3focid=magicti ability access accessed accounts action activities activity actor actors additional address adept against age ahnlab alert alerts allow allowing allows also analysis analysts antivirus antivirus** are artifacts asec assets attachment attachments attack attackers attacks attempting automated backdoor:js/remcos backdoor:msil/remcos backdoor:win32/remcos base64 based been begins behind being better binary block breach breaches campaign can capturing card center chain check checkpoint cloud code colombian com/blog/x com/cyber com/en com/intel com/ko/65790/ common commonly complete components compressed compromised conduct configure consequently containing control could cover credentials criterion customers cve cybercriminals data defend defender delivered deobfuscates deployed deployment description detect detected detection detections/hunting detects device distribute distributed distributing documents docx does download editor edr email emphasizing enable enabling encoded encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/enable endpoint/microsoft equation equivalent escalate espionage establish even evolving example executable execution exploit exploits explorer/articles/12418076 explorer/cves/cve exposure extensive faciliting file files first follow following foothold forcepoint format from full futher gain gather grants has help highlights https://asec https://learn https://security https://www hub/threat identified identify image immediate immediately impact impacted impacts importance include: infected infection infections:**remcos infective information intelligence introduce investigation investigations isolate key keylogging keystrokes labs/url large launch launched lead leads learndoc learning likely list logging machine majority malicious malware malware/ malware/remcos malware: management management/defender may mbdk mdvm meet method microsoft mitigations mode monitored mtb&threatid= multiple name=backdoor:js/remcos&threatid= name=backdoor:msil/remcos&threatid= name=backdoor:win32/remcos&threatid= name=trojan:js/remcos name=trojan:msil/remcos name=trojan:win32/remcos&threatid= network new non not obfuscated observed online organization organizations other over passive passwords perform persistence phishing post potential potentially powershell prevalence prevent prevention/what privileges product protect protection protections provides queries ransomware rapidly rar rat recognizing recommendations recommends reduce reducing reduction reference references remcos remediate remediation remote researchers reset resolve response reverse rtf rules run running rva scale scenes script scripts security sensitive shortened shortener sieze sight significantly signs snapshot status steal steganographic strings such surface surveillance system systems tactics take taken takeover:**remcos targeting techniques techniques: tgz theft theft:**beyond these threat threats through tokens tools transmit trojan trojan:js/remcos trojan:msil/remcos trojan:win32/remcos trusted turn types understanding unknown unless url urls us/microsoft us/wdsi/threats/malware use using utilize uue variant variants variety versatile view=o365 volume vulnerabilities vulnerability vulnerable when which windows word works worldwide worldwide&block worldwide&ocid=magicti xdr your zip |
| Tags | Ransomware Malware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.