Το Remcos, ένα εμπορικό εργαλείο απομακρυσμένης πρόσβασης που διανέμεται από την Breaking-Security και διατίθεται στην αγορά ως λογισμικό διαχείρισης, έχει γίνει μια σοβαρή απειλή στο τοπίο της κυβερνοασφάλειας.
Αναπτύχθηκε στα μέσα της δεκαετίας του 2010, αυτό το κακόβουλο λογισμικό επιτρέπει στους εισβολείς να εκτελούν απομακρυσμένες εντολές, να κλέβουν αρχεία, να καταγράφουν οθόνες, να καταγράφουν πατήματα πλήκτρων και να συλλέγουν διαπιστευτήρια χρήστη μέσω διακομιστών εντολών και ελέγχου χρησιμοποιώντας κανάλια HTTP ή HTTPS.
Παρά το γεγονός ότι τοποθετούνται ως νόμιμο λογισμικό με δωρεάν και επί πληρωμή εκδόσεις, τα μη εξουσιοδοτημένα αντίγραφα χρησιμοποιούνται ενεργά στη φύση για κλοπή δεδομένων και μη εξουσιοδοτημένη πρόσβαση στο σύστημα.
Το κακόβουλο λογισμικό εξαπλώνεται μέσω καμπανιών ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα συνημμένα και αρχεία που φιλοξενούνται σε παραβιασμένους ιστότοπους.
Οι επιτιθέμενοι χρησιμοποιούν επίσης εξειδικευμένους φορτωτές όπως ο GuLoader και ο Reverse Loader για να παραδώσουν το Remcos ως ωφέλιμο φορτίο δεύτερου σταδίου, επιτρέποντάς τους να παρακάμψουν τα συστήματα αρχικής ανίχνευσης.
Μόλις εγκατασταθεί, το κακόβουλο λογισμικό δημιουργεί επιμονή και διατηρεί συνεχή επικοινωνία με την υποδομή ελέγχου του, δημιουργώντας μια αξιόπιστη κερκόπορτα για συνεχείς επιθέσεις.
Αναλυτές ασφαλείας της Censys διάσημος ότι μεταξύ 14 Οκτωβρίου και 14 Νοεμβρίου 2025, εντόπισαν με συνέπεια πάνω από 150 ενεργούς διακομιστές εντολών και ελέγχου Remcos παγκοσμίως.
Υποδομή
Αυτή η σημαντική υποδομή καταδεικνύει την ευρεία υιοθέτηση του εργαλείου μεταξύ των παραγόντων απειλής.
Οι διακομιστές λειτουργούσαν συνήθως στη θύρα 2404, την προεπιλεγμένη επιλογή για το Remcos, με πρόσθετη δραστηριότητα που παρατηρείται στις θύρες 5000, 5060, 5061, 8268 και 8808, δείχνοντας την ευελιξία των χειριστών στις στρατηγικές ανάπτυξης.
.webp.jpeg)
Η κατανόηση του C2 Communication Networks αποκαλύπτει πώς η Remcos διατηρεί τον έλεγχο. Το κακόβουλο λογισμικό επικοινωνεί μέσω πρωτοκόλλων HTTP και HTTPS σε προβλέψιμες θύρες, με την κυκλοφορία δικτύου να περιέχει συχνά κωδικοποιημένα αιτήματα POST και ασυνήθιστες διαμορφώσεις TLS που δημιουργούν διακριτικά μοτίβα.
Οι χειριστές συνήθως επαναχρησιμοποιούν πιστοποιητικά σε πολλούς διακομιστές, χρησιμοποιούν ρυθμίσεις που βασίζονται σε πρότυπα και αξιοποιούν φθηνούς παρόχους φιλοξενίας όπως COLOCROSSING, RAILNET και CONTABO στις Ηνωμένες Πολιτείες, την Ολλανδία, τη Γερμανία και άλλες χώρες.
Αυτό το μοτίβο υποδομής επιτρέπει στους υπερασπιστές δικτύου να αναγνωρίζουν και να αποκλείουν τις επικοινωνίες σε σημεία ανίχνευσης.
Οι μηχανισμοί επιμονής που εντοπίστηκαν περιλαμβάνουν προγραμματισμένες εργασίες και καταχωρήσεις κλειδιού εκτέλεσης μητρώου, επιτρέποντας στους εισβολείς να διατηρήσουν την πρόσβαση ακόμη και μετά την επανεκκίνηση του συστήματος.
Αυτός ο συνδυασμός εκτέλεσης εντολών, δυνατοτήτων μεταφοράς αρχείων και ανθεκτικής επιμονής καθιστά το Remcos ιδιαίτερα επικίνδυνο για οργανισμούς με αδύναμους ελέγχους ασφαλείας, που απαιτούν άμεση παρακολούθηση δικτύου και μέτρα ανίχνευσης τελικών σημείων.
