Remote Access Malware: Analyse von Censys zeigt die weltweite Verbreitung der C2-Infrastrukturen von Remcos

In einer aktuellen Analyse hat Censys, einer der führenden Anbieter für Threat Intelligence und Attack Surface Management, die Command-and-Control-Infrastrukturen (C2) von Remcos untersucht. Remcos ist ein ursprünglich legitimes Remote-Access-Tool, das immer häufiger in kriminellen Malware-Kampagnen eingesetzt wird.

Remcos unterstützt die Ausführung von Fernbefehlen, Dateiübertragungen, Bildschirmaufnahmen, Keylogging und die Sammlung von Anmeldedaten über einen HTTP- oder HTTPS-Command-and-Control (C2)-Kanal. Neuere Versionen des Tools nutzen eine modulare Architektur und konfigurierbare Installationsprogramme. Diese unterstützen Persistenz-Mechanismen und die Umgehung von Sicherheitsmaßnahmen. Dadurch hat sich Remcos zu einem vielseitigen Werkzeug für unbefugten Systemzugriff und Datendiebstahl entwickelt. Dieses eigentlich für Sicherheitsbewertungen gedachte Tool lässt sich außerdem in Angriffsketten umfunktionieren.

In seiner Analyse hat Censys im Oktober und November 150 aktive Remcos-C2-Server beobachtet. Die meisten davon liefen auf dem Remcos-Standard-Port 2404. Eine bemerkenswerte Flexibilität zeigt sich darin, dass auch Ports wie 5000, 5060, 5061, 8268 und 8808 genutzt wurden. Mit 16 beobachteten Instanzen liegt Deutschland weltweit auf Platz drei hinter den USA (42) und den Niederlanden (25).

Durch die Kombination aus Remote Access, Dateiübertragung und Keylogging können Angreifer schnell Daten erbeuten. Geplante Aufgaben und Run-Key-Persistenz sorgen für einen stabilen Zugriff nach der ersten Kompromittierung. Daher ist es wichtig, mit Remcos verbundene Infrastrukturen im Netzwerk zu identifizieren und zu beheben.

Erfahren Sie im Blogbeitrag mehr: https://censys.com/blog/threat-overview-remcos-c2.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0