In einer aktuellen Analyse hat Censys, einer der führenden Anbieter für Threat Intelligence und Attack Surface Management, die Command-and-Control-Infrastrukturen (C2) von Remcos untersucht. Remcos ist ein ursprünglich legitimes Remote-Access-Tool, das immer häufiger in kriminellen Malware-Kampagnen eingesetzt wird.
Remcos unterstützt die Ausführung von Fernbefehlen, Dateiübertragungen, Bildschirmaufnahmen, Keylogging und die Sammlung von Anmeldedaten über einen HTTP- oder HTTPS-Command-and-Control (C2)-Kanal. Neuere Versionen des Tools nutzen eine modulare Architektur und konfigurierbare Installationsprogramme. Diese unterstützen Persistenz-Mechanismen und die Umgehung von Sicherheitsmaßnahmen. Dadurch hat sich Remcos zu einem vielseitigen Werkzeug für unbefugten Systemzugriff und Datendiebstahl entwickelt. Dieses eigentlich für Sicherheitsbewertungen gedachte Tool lässt sich außerdem in Angriffsketten umfunktionieren.
In seiner Analyse hat Censys im Oktober und November 150 aktive Remcos-C2-Server beobachtet. Die meisten davon liefen auf dem Remcos-Standard-Port 2404. Eine bemerkenswerte Flexibilität zeigt sich darin, dass auch Ports wie 5000, 5060, 5061, 8268 und 8808 genutzt wurden. Mit 16 beobachteten Instanzen liegt Deutschland weltweit auf Platz drei hinter den USA (42) und den Niederlanden (25).
Durch die Kombination aus Remote Access, Dateiübertragung und Keylogging können Angreifer schnell Daten erbeuten. Geplante Aufgaben und Run-Key-Persistenz sorgen für einen stabilen Zugriff nach der ersten Kompromittierung. Daher ist es wichtig, mit Remcos verbundene Infrastrukturen im Netzwerk zu identifizieren und zu beheben.
Erfahren Sie im Blogbeitrag mehr: https://censys.com/blog/threat-overview-remcos-c2
Remote Access Malware: Analyse von Censys zeigt die weltweite Verbreitung der C2-Infrastrukturen von Remcos hinzugefügt von Redaktion am
Alle Beiträge von Redaktion →
