#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание исполнителя киберугроз UNC5174, действующего из Китая и использующего личность "Утеус", который перешел из хактивистских коллективов в качестве подрядчика Министерства государственной безопасности Китая (MSS). UNC5174 участвует в использовании различных уязвимостей, проведении агрессивных атак и вторжений, а также продаже доступа организациям, особенно в академическом, неправительственном и правительственном секторах. Действия злоумышленника демонстрируют систематическое сосредоточение внимания на стратегических целях, представляющих интерес для Китая, использование как пользовательских, так и общедоступных эксплойтов и сотрудничество с другими участниками угроз в рамках платформы MSS initial access broker для нацеливания на значимые глобальные организации.
-----

Инцидент с участием злоумышленника, известного как UNC5174, предположительно действующего из Китая и использующего личность "Утеус", был впервые обнаружен в ходе расследования вторжения в конце октября 2023 года компанией Mandiant. Было замечено, что этот субъект использует новую уязвимость N-day, затрагивающую пользовательский интерфейс управления трафиком F5 BIG-IP (CVE-2023-46747). Впоследствии, в феврале 2024 года, UNC5174 воспользовался уязвимостью Connectwise ScreenConnect (CVE-2024-1709). Mandiant со средней степенью уверенности оценил, что инструменты и фреймворки, использованные в этих инцидентах, были уникальными для UNC5174 и указывали на субъекта угрозы из Китайской Народной Республики (КНР).

UNC5174, ранее ассоциировавшийся с такими хактивистскими коллективами, как "Dawn Calvary" и "Genesis Day", перешел на работу в качестве подрядчика Министерства государственной безопасности Китая (MSS), в первую очередь сосредоточившись на выполнении операций доступа. Было замечено, что актер пытался продать доступ к различным организациям, включая технику оборонных подрядчиков США, правительственные структуры Великобритании и учреждения в Азии. UNC5174 был связан с агрессивным преследованием и вторжениями в исследовательские и образовательные учреждения, предприятия в Гонконге, НПО, а также правительственные организации в США и Великобритании.

Во время своей работы UNC5174 использовал несколько уязвимостей, включая F5 BIG-IP, Connectwise ScreenConnect, Atlassian Confluence, ядро Linux и брандмауэр Zyxel, среди прочих. Актер продемонстрировал обширную разведку, агрессивное сканирование уязвимостей и нацеливание на известные университеты и аналитические центры в различных регионах. Также было замечено использование таких инструментов, как SNOWLIGHT и GOREVERSE, а также коммуникационных платформ, таких как SUPERSHELL, GOHEAVY и других инструментов red teaming.

Деятельность UNC5174 носит систематический характер и направлена на достижение доступа к стратегическим целям, представляющим интерес для КНР, таким как академический сектор, НПО и государственный сектор. Злоумышленник использует как пользовательские, так и общедоступные эксплойты для нацеливания на широко распространенные периферийные устройства, такие как F5 BIG-IP и ScreenConnect. Взаимосвязанность операций UNC5174 с другими субъектами угроз, такими как UNC302, в рамках системы MSS initial access broker указывает на скоординированные усилия по нацеливанию на значимые глобальные организации.

В сообщении на форуме от 21 февраля 2024 года актер "Uteus" заявил об успешном использовании уязвимости Connectwise ScreenConnect в экземплярах, принадлежащих многочисленным организациям по всему миру, в первую очередь в США и Канаде. Mandiant подтвердил компрометацию в нескольких экземплярах ScreenConnect и наличие неавторизованных пользователей, добавленных UNC5174. Принадлежность актера к коллективам хактивистов до перехода к подрядчику MSS, а также их сосредоточенность на операциях доступа и посредничестве в скомпрометированных средах свидетельствуют о меняющемся ландшафте угроз в кибершпионаже.

#ParsedReport #CompletenessLow
25-03-2024

APT-C-09. 1. Analysis of attack activities

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247495954&idx=1&sn=d1b69cdc1465a9c0c033fe88e5c9ce51&chksm=f9c1c21bceb64b0df4cf0b45696c0b39cf5ef6f452265c755d6b6edd4deae4afe0b529fd9660&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Victims:
Palestinian federal tax office

Geo:
Asian, Pakistan, Palestinian

ChatGPT TTPs:
do not use without manual check
T1566, T1021.002, T1053.005, T1041, T1573.001, T1568.002, T1112, T1027

IOCs:
Hash: 2
Url: 3
File: 3

Algorithms:
md5, rc4, aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании кибератаки, осуществленной организацией Mahagrass, также известной как APT-C-09, нацеленной на Пакистан и соседние страны. Анализ охватывает методы атак, методы шифрования, профиль организации, анализ полезной нагрузки и информацию о фишинговых файлах, связанных с Mahagrass, подчеркивая необходимость того, чтобы аналитики безопасности отслеживали текущие и эволюционирующие угрозы, исходящие от этой группы APT, и эффективно реагировали на них.
-----

В проанализированном тексте освещается кибератака, приписываемая организации Mahagrass, также известной как APT-C-09 (Mahaca) или White Elephant, Patchwork и Dropping Elephant. Эта группа APT, имеющая опыт работы в странах Южной Азии, активна с 2013 года и последовательно нацелена на Пакистан и соседние страны. Методы атак, наблюдаемые в проанализированной выборке, напоминают предыдущие действия группы Mahagrass.

Основные выводы, сделанные в результате анализа, включают:.

**Методы атаки:** Атака предполагает использование вредоносных параметров lnk, аналогичных предыдущим атакам Mahagrass на Mokocao. Злоумышленники загружают документы-приманки и вредоносную полезную нагрузку с удаленного сервера и устанавливают запланированные задачи для сохранения. Примечательно, что URL-адреса, используемые для загрузки контента, содержат определенную строку "b-cdn.net". Подпись "RUNSWITHSCISSORS LTD", содержащаяся в вредоносной полезной нагрузке, была ранее идентифицирована в действиях Mahagrass.

**Методы шифрования:** Значение IV в алгоритме AES, используемом в вредоносной полезной нагрузке, соответствует значению из предыдущего анализа, связанного с Махараштрой. Формат URL для загрузки данных также соответствует прошлым действиям. Использование алгоритма RC4 с определенной схемой перекрытия ключей было распространено в предыдущих операциях Mokocao. Пример адреса загрузки в Пакистане соответствует историческому таргетингу Mahagrass на такие организации, как Федеральное налоговое управление Палестины.

** Профиль организации:** APT-C-09 (Mahagrass) имеет многолетнюю историю атак на Пакистан и соседние страны, сосредоточив внимание на краже конфиденциальной информации. Организация продемонстрировала непрерывную эволюцию, включив полезные бэкдоры, написанные на C#, в последний образец атаки. Это свидетельствует о стремлении расширить технические возможности для обхода мер сетевой безопасности.

**Анализ полезной нагрузки: ** Полезные нагрузки бэкдора C#, обнаруженные в ходе недавней атаки, считаются относительно простыми по функциональности. Однако ожидается, что злоумышленник расширит функциональность кода в будущих атаках. Постоянный мониторинг усилий Mahagrass по созданию оружия имеет решающее значение для точного понимания потенциальных угроз.

** Информация о фишинговых файлах:** Фишинговые файлы, используемые в атаке, загружают файлы-приманки и вредоносную полезную нагрузку с определенных URL-адресов, в конечном итоге обеспечивая постоянство с помощью запланированных задач. Вредоносная полезная нагрузка собирает и шифрует различную системную информацию, включая MAC-адрес, имя хоста, выполненные команды и результаты, перед отправкой их обратно на сервер управления (C2) с использованием метода POST.

Изучая технические индикаторы, схемы атак и историческое поведение Mahagrass, аналитики безопасности могут выявлять текущие и будущие угрозы, исходящие от этой постоянной группы APT, и эффективно реагировать на них. Использование сложных алгоритмов шифрования, эволюционирующие методы атак и стратегическое нацеливание на чувствительные объекты подчеркивают необходимость принятия надежных мер кибербезопасности для снижения рисков, связанных со вредоносной деятельностью Mahagrass. Следите за любыми обновлениями или модификациями инструментов и тактики атак организации.

#ParsedReport #CompletenessMedium
25-03-2024

China-linked Threats to Operational Technology

https://www.reliaquest.com/blog/china-linked-threats-to-operational-technology

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon
Blacktech
Apt31
Emissary_panda (motivation: cyber_espionage)

Threats:
Chargeweapon
Cobalt_strike
Hyperbro
Cobra
Spear-phishing_technique
Fourteenhi
Meatball
Winrm_tool
Shadow_copies_delete_technique
Ntdsutil_tool
Byovd_technique

Victims:
Us critical infrastructure organizations, Semiconductor companies, International subsidiaries, Industrial organizations

Industry:
Energy, Military, Government, Ics, Semiconductor_industry, Financial

Geo:
China, Chinese, Japanese, Singapore, Japan, Taiwan

TTPs:

IOCs:
File: 4

Soft:
Windows Defender, Ivanti, PSExec

Algorithms:
ecc, base64, xor, rc4

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе угрозы, исходящей от китайских группировок advanced persistent threat (APT), нацеленных на операционные технологии (OT) и критическую инфраструктуру с помощью изощренной тактики для извлечения ценной информации и потенциального нарушения работы систем. В отчете освещаются конкретные кибератаки, проведенные APT27, APT31, BlackTech и Volt Typhoon, подчеркиваются стратегические интересы Китая и необходимость усиления организациями мер кибербезопасности для защиты от этих угроз.
-----

В этом отчете анализируется угроза, исходящая от китайских групп продвинутых постоянных угроз (APT) в области операционных технологий (OT), с акцентом на четыре ключевые кибератаки, проведенные APT27, APT31, BlackTech и Volt Typhoon за последние 12 месяцев. Ожидается, что китайские APT-группы продолжат использовать сложные тактики, такие как эксплойты нулевого дня и социальная инженерия, для нацеливания на OT и сетевые устройства с целью извлечения ценной информации и разрушения критически важной инфраструктуры.

Группа Volt Typhoon нацелилась на критически важную инфраструктуру США, используя ботнет и бэкдор ChargeWeapon в среде OT. Группа поддерживала постоянство с помощью бэкдоров маршрутизаторов и стремилась нарушить функции OT в различных секторах, используя многоступенчатые прокси-серверы для инфраструктуры командования и контроля. APT31 нацелился на системы с воздушным зазором в Восточной Европе, используя множество бэкдоров для установления постоянного удаленного доступа и эксфильтрации конфиденциальной информации с помощью Yandex Cloud for C2.

Сообщалось, что BlackTech незаметно модифицировала прошивку маршрутизатора филиала для переключения между международными филиалами организаций и штаб-квартирами в Японии и США. Группа нацелилась на сектора, сильно зависящие от OT, посредством фишинговых электронных писем, содержащих вложения с бэкдорами, с целью сбора конфиденциальных данных. APT27 нацелился на полупроводниковые компании в Гонконге, Сингапуре и Тайване в рамках кампании кибершпионажа, используя бэкдор ChargeWeapon для удаленного доступа и утечки данных.

Кроме того, в докладе подчеркиваются стратегические интересы Китая, такие как инициативы "Пояс и путь" и "Сделано в Китае 2025", которые увеличили потребность страны в информации. Китайские группы APT играют важную роль в проведении операций по кибершпионажу и сбору разведданных для поддержки стратегических целей Китая и потенциального подрыва критически важной инфраструктуры в случае конфликта с США или их союзниками.

В анализе подчеркивается важность внедрения правил обнаружения и ключевых рекомендаций по снижению TTP, задействованных в этих атаках. Рекомендации включают предотвращение удаленного выполнения процессов с помощью таких методов, как WMI/PsExec в защитнике Windows, и внедрение более жесткого контроля доступа к критически важным ресурсам, требующим протокола удаленного рабочего стола (RDP). Организациям, использующим или планирующим внедрить OT в свою инфраструктуру, рекомендуется предпринимать активные шаги по укреплению своей системы кибербезопасности против потенциальных угроз со стороны китайских APT-групп.

В отчете также обсуждаются проблемы, связанные с приписыванием китайской деятельности APT из-за сотрудничества между различными группами угроз, что приводит к дублированию TTP и наборов инструментов. Предполагается, что китайские участники угроз продолжат использовать передовые тактики и сохранять настойчивость для достижения своих целей, согласующихся с более широкими стратегическими интересами Коммунистической партии Китая. По мере роста геополитической напряженности китайские участники угроз, вероятно, усилят свое внимание к атакам на устройства и сети OT, подчеркивая необходимость усиления мер кибербезопасности для защиты от потенциальных киберугроз.

#cyberthreattech #passleak

Мы официально объявили о тех партнерстве с командой PassLeak.

PassLeak - крутой стартап, собирают утечки из Dark-а а еще, что очень круто, парсят тонны логов стиллеров.
Т.е. если вы нашли себя в их базе, то, скорее всего, надо искать заразу в своей инфре.

С точки зрения TI, партнерство позволяет нам получить доступ к огромному массиву данных, собранных со стиллеров и использовать это в фидах и механизмах обогащения и скоринга.

https://cisoclub.ru/tehnologii-kiberugroz-brend-rst-cloud-russia-i-passleak-objavili-o-tehnologicheskom-partnerstve/

Заявку на пилот можно оставить у ребят на сайте [тык], либо написать мне в личку.

#ParsedReport #CompletenessLow
26-03-2024

The Darkside of TheMoon

https://blog.lumen.com/the-darkside-of-themoon

Report completeness: Low

Threats:
Moon_botnet
Faceless_tool
Solarmarker
Icedid
Residential_proxy_technique
Acunetix_tool
Password_spray_technique

Victims:
Asus routers, Iot devices, Soho routers, Network attached storage devices, D-link cameras

Industry:
Telco, Iot

ChatGPT TTPs:
do not use without manual check
T1583.001, T1584.002, T1588.002, T1190, T1046, T1071.001, T1571, T1027, T1090, T1583, have more...

IOCs:
IP: 3

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Moon\_Faceless\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, table: 1, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Команда Black Lotus Labs в Lumen Technologies раскрыла сложную кампанию по борьбе с киберпреступностью, в которой использовалась вредоносная программа "TheMoon", нацеленная на маршрутизаторы с истекшим сроком службы и устройства Интернета вещей, чтобы стимулировать рост безликого прокси-сервиса, используемого киберпреступниками. Анализ выявил процесс развертывания, сильную корреляцию между TheMoon и Faceless, влияние на безопасность глобальной сети и упреждающие меры, принятые Lumen для нарушения работы и обмена показателями компрометации с сообществом безопасности.
-----

Лаборатории Black Lotus обнаружили многолетнюю кампанию киберпреступности, направленную против устаревших маршрутизаторов и устройств Интернета вещей с использованием обновленной версии вредоносного ПО "TheMoon".

У TheMoon более 40 000 ботов в 88 странах, причем большинство из них служат основой для сервиса Faceless proxy.

Faceless способствует преступной деятельности и использовался операторами ботнетов, такими как SolarMarker и IcedID.

Развертывание вредоносного ПО включает в себя ряд этапов, при этом полезные нагрузки облегчают распространение, прокси-трафик и связь с инфраструктурой Faceless C2.

Существует сильная корреляция между ботами TheMoon и Faceless, со значительным совпадением кластеров активности.

Faceless позволяет пользователям маскировать подключения и представляться законными конечными пользователями интернет-провайдера, работая без проверки KYC и принимая платежи только через криптовалюты.

Скомпрометированные устройства Интернета вещей, питающие Faceless, часто являются неподдерживаемыми устройствами с истекшим сроком службы, что со временем повышает их уязвимость.

Безликие боты, расположенные в основном в США, представляют значительную угрозу для американских учетных записей и организаций, вероятно, сосредоточившись на распределении паролей и утечке данных в финансовом секторе.

Преступники подключают зараженные устройства к прокси-сервисам для анонимизации действий, сигнализируя об отходе от традиционных инструментов, таких как VPN.

Компания Lumen Technologies предприняла действия по блокированию трафика, связанного с TheMoon и Faceless, поделившись IOCs с сообществом безопасности для усиления усилий по кибербезопасности и продолжения мониторинга крупномасштабных ботнетов для защиты от возникающих угроз.

#ParsedReport #CompletenessMedium
26-03-2024

APT-C-43Machete. APT-C-43 (Machete) organization suspected of evolving into more diversified

https://www.ctfiot.com/169674.html

Report completeness: Medium

Actors/Campaigns:
Machete (motivation: information_theft)

Threats:
Spear-phishing_technique

Industry:
Military

Geo:
Turkish, Korean, America

CVEs:
CVE-2017-8570 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1027, T1547, T1112, T1574, T1059, T1020, T1210, have more...

IOCs:
IP: 1
Hash: 139
File: 4

Soft:
WeChat, Roblox, discord, Telegram

Algorithms:
md5, base64

Languages:
visual_basic, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание группы киберугроз APT-C-43, также известной как Machete, сосредоточенной на нацеливании на испаноязычных людей в Латинской Америке с помощью тактики социальной инженерии, распространения вредоносных файлов и развивающихся методов, использующих Python, .NET, Visual Basic и различные типы вредоносных программ. В тексте также освещаются их недавние действия, направленные против военных секретов Венесуэлы, и анализ их потоков атак и методологий.
-----

Организация APT-C-43, также известная как Machete, была впервые идентифицирована Kaspersky в 2014 году. Эта группа нацеливает свои атаки на цели с испаноязычным происхождением в Латинской Америке. Их основной метод первоначальных атак включает тактику социальной инженерии, такую как фишинговые электронные письма или поддельные блоги. Эта тактика используется для распространения вредоносных файлов, причем жертвами преимущественно являются испаноязычные лица. В декабре 2020 года стало известно, что APT-C-43 нацелился на военные секреты Венесуэлы в попытке поддержать оппозицию, используя в своих атаках новый бэкдор Python под названием Pyark.

Потоки атак, использованные APT-C-43 в предыдущих инцидентах, соответствуют методам, использованным при краже военных секретов Венесуэлы. Код VBA, найденный в документе полезной нагрузки, практически не изменился, что позволяет сделать вывод о том, что организацией, стоящей за этой атакой, скорее всего, является APT-C-43.

APT-C-43 продолжает доставлять полезную нагрузку в основном через фишинговые электронные письма и поддельные блоги, используя документы Office с вредоносными макрокодами. Эти макрокоды, будучи активированными, инициируют FTP-запросы для загрузки троянца-бэкдора с удаленного сервера. Вредоносный макрокод зашифрован для обмана пользователей. После выполнения макрокод загружает три файла - lnk, bat и png - в каталог "C:ProgramData". Затем файл lnk перемещается в каталог автозагрузки для запуска файла bat, который, в свою очередь, загружает и выполняет вредоносный код с удаленного сервера funkytothemoon.live.

После перезагрузки компьютера файл lnk в каталоге автозагрузки запускает выполнение файла bat, содержащего вредоносный код. Этот код загружает MSI-файл с сайта funkytothemoon.live, в котором содержится вредоносная программа. В последние годы APT-C-43 эволюционировал за счет использования вредоносных программ, скомпилированных с помощью .NET и Visual Basic в дополнение к Python. Вредоносные программы, скомпилированные с помощью Visual Basic, вставляют вредоносный код в законные программы VB для выполнения гнусных функций. Эти программы могут считывать данные конфигурации, устанавливать постоянство, выполнять резервное копирование файлов и загружать дополнительные вредоносные программы с gitlab.com.

Вредоносная программа .NET, используемая APT-C-43, сильно запутана и взята из проекта Qvoid-Token-Grabber на GitHub, что указывает на сильные возможности перехвата паролей. Модифицированная вредоносная программа .NET шифрует символы файла конфигурации, сохраняет их в ресурсах программы и в конечном итоге отправляет украденную конфиденциальную информацию злоумышленнику через Discord API.

Дальнейшее расследование выявило подозрительный RTF-файл, содержащий полезную нагрузку уязвимости CVE-2017-8570 в данных APT-C-43 C&C. Эта уязвимость срабатывает, когда RTF-файл открывается уязвимой программой Word, выполняя вредоносный код скрипта VBA, который загружает и запускает полезную нагрузку с заранее определенного C&C адреса. Несмотря на сходство доменных имен, используемых APT-C-43, включение CVE-2017-8570 в их поток атак не согласуется с предыдущими отчетами. Однако сопоставление кода VBA привело к обнаружению многочисленных RTF-документов с различными названиями-приманками, преимущественно относящимися к финансовым вопросам, что указывает на потенциальные мотивы, связанные с получением прибыли, и отход от традиционной тактики APT-C-43.

#ParsedReport #CompletenessMedium
26-03-2024

Unknown TTPs of Remcos RAT

https://labs.k7computing.com/index.php/unknown-ttps-of-remcos-rat

Report completeness: Medium

Threats:
Remcos_rat
Amsi_bypass_technique
Amsi-reaper_tool
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1053, T1027, T1055, T1573, T1112, T1056, T1123, have more...

IOCs:
File: 2
Url: 5
Hash: 2

Soft:
MacOSX, Internet Explorer

Algorithms:
base64, rc4

Win API:
CreateProcess, GetThreadContext, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, ZwUnmapViewOfSection

Languages:
powershell

Links:
https://github.com/h0ru/AMSI-Reaper.git

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 13, dump: 2, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о троянце удаленного доступа Remcos (RAT), методах его распространения, функциональных возможностях, методах, используемых для уклонения от обнаружения, основной полезной нагрузке и рекомендациях по обнаружению и предотвращению поставщиками услуг кибербезопасности.
-----

Троян Remcos Remote Access Trojan (RAT) активен с 2016 года и обычно распространяется с помощью вредоносных вложений, скачиваний с диска и тактик социальной инженерии. Первоначально представленный европейской компанией BreakingSecurity как законный инструмент дистанционного управления, Remcos с тех пор стал оружием злоумышленников для совершения вредоносных действий, несмотря на первоначальное намерение использовать его на законных основаниях. Вредоносная программа использует командную строку PowerShell в файле быстрого доступа для выполнения скрипта MacOSX.ps1, наряду с несколькими другими компонентами, такими как создание задач для загрузки и выполнения скриптов PowerShell, обход интерфейса проверки на наличие вредоносных программ (AMSI) и загрузка скриптов VB, замаскированных под файлы PNG.

Одним из примечательных инструментов с открытым исходным кодом, используемых Remcos, является AMSIReaper, доступный на GitHub, который помогает обойти защиту AMSI. Сценарий VB, загруженный Remcos, декодируется, чтобы выявить сценарий PowerShell, закодированный с помощью base64, который используется для выполнения опустошения процесса путем введения полезной нагрузки Remcos в новый процесс "RegAsm.exe" на компьютере жертвы. Этот метод помогает избежать обнаружения и незаметно выполнять вредоносные действия.

Основной полезной нагрузкой Remcos является скомпилированный двоичный файл VC8, содержащий зашифрованный блок конфигурации. Первый байт в большом двоичном объекте представляет размер ключа RC4, а остальные зашифрованные данные раскрывают важную информацию, такую как сведения о сервере управления (C2), функциональные возможности вредоносного ПО и настройки регистрации данных жертвы. Remcos предназначен для регистрации нажатий клавиш, данных буфера обмена, захвата аудиовхода с микрофона жертвы, сбора информации о геолокации путем подключения к определенному URL-адресу, создания скриншотов экрана жертвы, отключения контроля учетных записей пользователей (UAC) на устройстве жертвы и отправки данных обратно на сервер C2.

Чтобы избежать множественных экземпляров, Remcos создает мьютекс во время работы на компьютере жертвы. K7 Labs, поставщик услуг кибербезопасности, предлагает возможности обнаружения Remco и других возникающих угроз, рекомендуя пользователям использовать надежные решения для обеспечения безопасности, такие как "K7 Total Security", и обеспечивать регулярные обновления для защиты своих устройств от вторжений RAT и других форм киберугроз.