In einer aktuellen Analyse hat Censys, einer der führenden Anbieter für Threat Intelligence und Attack Surface Management, die Command-and-Control-Infrastrukturen (C2) von Remcos untersucht. Remcos ist ein ursprünglich legitimes Remote-Access-Tool, das immer häufiger in kriminellen Malware-Kampagnen eingesetzt wird.
Remcos unterstützt die Ausführung von Fernbefehlen, Dateiübertragungen, Bildschirmaufnahmen, Keylogging und die Sammlung von Anmeldedaten über einen HTTP- oder HTTPS-Command-and-Control (C2)-Kanal. Neuere Versionen des Tools nutzen eine modulare Architektur und konfigurierbare Installationsprogramme. Diese unterstützen Persistenz-Mechanismen und die Umgehung von Sicherheitsmaßnahmen. Dadurch hat sich Remcos zu einem vielseitigen Werkzeug für unbefugten Systemzugriff und Datendiebstahl entwickelt. Dieses eigentlich für Sicherheitsbewertungen gedachte Tool lässt sich außerdem in Angriffsketten umfunktionieren.
In seiner Analyse hat Censys im Oktober und November 150 aktive Remcos-C2-Server beobachtet. Die meisten davon liefen auf dem Remcos-Standard-Port 2404. Eine bemerkenswerte Flexibilität zeigt sich darin, dass auch Ports wie 5000, 5060, 5061, 8268 und 8808 genutzt wurden. Mit 16 beobachteten Instanzen liegt Deutschland weltweit auf Platz drei hinter den USA (42) und den Niederlanden (25).
Durch die Kombination aus Remote Access, Dateiübertragung und Keylogging können Angreifer schnell Daten erbeuten. Geplante Aufgaben und Run-Key-Persistenz sorgen für einen stabilen Zugriff nach der ersten Kompromittierung. Daher ist es wichtig, mit Remcos verbundene Infrastrukturen im Netzwerk zu identifizieren und zu beheben.
Erfahren Sie im Blogbeitrag mehr: https://censys.com/blog/threat-overview-remcos-c2
Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.
Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
http://www.censys.com/de
Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0
https://www.sprengel-pr.com/
- Cybersecurity (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. - Cybersicherheit (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. - malware (Wikipedia)
Als Schadprogramm, Schadsoftware oder zunehmend als Malware [ˈmalwɛːɐ̯] – englisch , evilware, junkware oder malware [ˈmælˌwɛə] (Kofferwort aus malicious ‚bösartig‘ und software) – bezeichnet man Computerprogramme, die entwickelt wurden, um, aus Sicht des Opfers, unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Der Begriff des Virus ist häufig nicht klar abgegrenzt. So ist die Rede von Virenschutz, womit viel allgemeiner der Schutz vor Schadsoftware jeglicher Art gemeint ist. Von Malware abzugrenzen ist fehlerhafte Software, obwohl auch diese selbst Schaden anrichten kann oder durch Sicherheitslücken beziehungsweise mangelnde Informationssicherheit zum Angriff auf Computersysteme ausgenutzt werden kann. Die Schadfunktionen sind gewöhnlich getarnt, oder die Software läuft gänzlich unbemerkt im Hintergrund (Typisierung siehe unten). Schadfunktionen können zum Beispiel die Manipulation oder das Löschen von Dateien oder die technische Kompromittierung der Sicherheitssoftware und anderer Sicherheitseinrichtungen (wie z. B. Firewalls und Antivirenprogramme) eines Computers sein, aber auch das ungefragte Sammeln von Daten zu Marketing-Zwecken. Es ist bei mancher Malware auch üblich, dass eine ordnungsgemäße Deinstallation mit den generell gebräuchlichen Mitteln fehlschlägt, so dass zumindest Software-Fragmente im System verbleiben. Diese können möglicherweise auch nach der Deinstallation weiterhin unerwünschte Funktionen ausführen. Die bisher bekannte Malware kann man grundsätzlich in drei verschiedene Klassen einteilen: Die Computerviren, die Computerwürmer und die Trojanischen Pferde. Ein Computervirus ist per Definition ein Programmcode, der sich selbstständig oder automatisiert weiterverbreiten kann, indem er Dateien infiziert. Der Begriff „computer virus“ wurde im Jahr 1981 durch den Informatiker Leonard M. Adleman etabliert, der die Bezeichnung erstmals öffentlich verwendete. Vergleiche von Programmcodes mit biologischen Viren gab es aber schon in den Jahren zuvor. Das erste bekannte Computervirus soll den meisten Quellen nach Elk Cloner für den Apple II im Jahr 1982 gewesen sein. Ein Computerwurm ist per Definition ein eigenständiges …
