Il tool di monitoraggio Remcos è sfruttato da numerosi avversari
29 Agosto 2024Remcos è uno strumento commerciale di amministrazione remota progettato per diverse attività, come i servizi professionali di supporto da remoto, gli audit di sicurezza e il controllo parentale. Grazie a queste funzionalità, si presta per essere utilizzato come valido strumento di red teaming, ma anche come pericoloso tool d’attacco.
Data la sua versatilità, avversari di diversa matrice, sia state-sponsored che crime, ne hanno fatto un uso consistente. In particolare, è stato sfruttato in numerose campagne contro l’Ucraina dall’avversario UAC-0050, attivo nell’ambito del conflitto con la Russia, ed è stato inserito nell’arsenale del gruppo ransomware Mallox Team. Negli ultimi anni, campagne crime basate su Remcos hanno ripetutamente preso di mira l’Italia. Inoltre, recentemente, il Sud America è stato impattato da un’offensiva che ha sfruttato l’esca CrowdStrike.
L’Italia nel mirino di Remcos
In Italia, nell’ultimo biennio, sample di Remcos sono stati distribuiti nel corso di campagne di phishing a tema PayPal e Agenzia delle Entrate. Gli attaccanti hanno confezionato e-mail che, fingendo di recapitare una fattura elettronica o una comunicazione relativa alla posizione contributiva, inducono il destinatario a cliccare su un link che porta a un archivio ZIP malevolo.
In un’altra campagna mirata contro l’Italia, gli avversari hanno distribuito Remcos usando come vettore un messaggio di posta che sembrava provenire da una Business Unit del gruppo Leonardo. La comunicazione, firmata per di più con il nome di un dipendente realmente esistente, invitava il destinatario a visionare un modulo allegato il quale, in realtà, è un archivio compresso 7Z contenente un eseguibile che avvia l’infezione.
Il russo UAC-0050 e l’esca Kyivstar
Un avversario di presunta matrice russa, indicato dal CERT di Kiev con la sigla UAC-0050, si è distinto proprio per l’uso sistematico di Remcos, soprattutto contro target dell’Ucraina.
Le sue campagne sono state veicolate da e-mail di phishing su vari temi: richieste di documentazioni, proposte di lavoro rivolte a personale militare, mandati di comparizione e falsi messaggi del Servizio di Sicurezza dell’Ucraina (SBU).
A fine 2023, UAC-0050 ha cavalcato l’onda della massiccia offensiva subita dalla Telco Kyivstar, che ha messo in ginocchio il sistema di comunicazioni fra istituti finanziari in tutto il Paese. Le e-mail distribuite in quel caso facevano riferimento a presunti debiti contrattuali di Kyivstar e riportavano in allegato archivi ZIP malevoli.
Remcos e il gruppo ransomware Mallox Team
Anche il gruppo ransomware Mallox Team ha inserito Remcos nel proprio arsenale. Un’analisi dello scorso anno segnala che la minaccia è stata installata nei sistemi target in fase di post-exploitation ed è stata poi sfruttata dall’avversario per le attività di comando e controllo (C&C). In un particolare attacco, Remcos e l’encryptor Mallox sono stati distribuiti in combo sfruttando BatCloak, uno strumento per la creazione di file batch che riesce a bypassare l’interfaccia di scansione antimalware (AMSI) e a rendere il payload della minaccia pressocché invisibile.
L’esca CrowdStrike contro utenti dell’America Latina
Fra le campagne più recenti, una ha preso di mira l’America Latina fingendo comunicazioni di CrowdStrike. La tecnica di social engineering escogitata dai criminali, semplice e potenzialmente molto efficace, ha approfittato dell’eco mediatica causata dall’incidente tecnico di luglio. Le vittime sono state raggiunte da e-mail che fingevano di distribuire un’hotfix per l’aggiornamento non corretto distribuito dalla compagnia texana. È stata proprio CrowdStrike a tracciare l’operazione malevola e a mettere in guardia i propri utenti sulle possibili infezioni di Remcos.
Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sui nostri servizi di Threat Intelligence