Beratung Juli 17, 2025

Anstieg von Phishing-Kampagnen mit maritimer Ausrichtung, die Remcos RAT über Archivdateien verteilen

Das Obrela-Bedrohungsanalyse-Team

Im Anschluss an unseren jüngsten Hinweis auf Bedrohungen im Zusammenhang mit WinRAR hat Obrela eine erhebliche Zunahme von Phishing-Kampagnen festgestellt, die auf griechische maritime Organisationen abzielen und komprimierte Archive nutzen, um den Remcos Remote Access Trojaner (RAT) zu installieren.

Überblick über die Bedrohung

Angreifer verbreiten Spear-Phishing-E-Mails, die sich als Logistik-, Beschaffungs- und Betriebskorrespondenz ausgeben und häufig an gemeinsam genutzte Posteingänge (z. B. info@, ops@) gesendet werden. Diese E-Mails enthalten in der Regel bösartige RAR- oder ZIP-Anhänge. Darin befindet sich ein JavaScript- oder VBS-Loader, der oft mit doppelten Dateierweiterungen getarnt ist (z.B. invoice.pdf.js) und über den Windows Scripting Host ausgeführt wird.

Sobald der Loader ausgelöst wird, ruft er die Remcos RAT-Nutzdaten von entfernten Servern ab und ermöglicht den Angreifern eine dauerhafte Fernsteuerung, Keylogging und den Diebstahl von Zugangsdaten. Einige Kampagnen verwenden auch bösartige LNK-Dateien, die PowerShell-Befehle ausführen, um die Nutzdaten abzurufen, was die Tarnung erhöht.

Beobachtete Taktiken, Techniken und Verfahren (TTPs)

  • Erster Zugriff: [T1566.001] Spearphishing-Anhang
  • Ausführung: [T1059.007] JavaScript; [T1059.001] PowerShell; [T1204] Benutzer-Ausführung
  • Persistenz & C2: Remcos RAT

Technische Indikatoren (IOCs)

Domains / C2-Infrastruktur

  • geoplugin[.]net
  • hftook7lmaroutsg1.duckdns[.]org
  • 5y9pfu[.]missileries-fenagle[.]yelocom[.]com

Bösartiger E-Mail-Absender

  • sder@oldendarf[.]cam

Datei-Hashes

  • 1b0eb55bb50d0286b192accbe408826c4c2e6c59a78d52743ce4f84ac0b1d6d0
  • FF026E3D87B29D7399E991F7AD20751008746C16
  • 612341AF1BC3D94A0366EF541F3AE7BF8CB1C979
  • 8DD719CDF5B8E522E6DCC1EB5FE182CD29D71AAF

Datei Artefakte

  • RAR/ZIP-Archive, die Folgendes enthalten:
    • .js-Loader mit doppelter Erweiterung (z.B. invoice.pdf.js, manifest.xls.js)
    • Bösartige LNK-Verknüpfungen, die PowerShell-Download-Ketten initiieren

 

Empfehlungen

  • Verdächtige Archive blockieren: Quarantäne von RAR/ZIP-Anhängen aus ungeprüften Quellen.
  • Dateierweiterungen inspizieren: Markieren Sie Dateien mit doppelten Erweiterungen (*.pdf.js, *.xls.js).
  • Aktualisieren Sie Dekomprimierungstools: Halten Sie WinRAR und ähnliche Programme angesichts der jüngsten Exploit-Aktivitäten vollständig gepatcht.
  • Härten Sie die E-Mail-Sicherheit: Wenden Sie eine erweiterte Filterung für Skripte und komprimierte Archive an.
  • Sensibilisierung für Sicherheit: Schulen Sie das Personal im Seeverkehr, damit es Phishing-Versuche erkennt und Anomalien sofort meldet.
  • IOC-Integration: Setzen Sie Regeln zur Erkennung von Netzwerken und Endpunkten ein, um den Datenverkehr zu den oben genannten Domänen zu identifizieren und verdächtige PowerShell-Ausführungen zu erkennen.

 

Referenz:

Das Threat Intelligence Team von Obrela beobachtet diese Entwicklungen weiterhin und wird weitere Hinweise geben, sobald neue Indikatoren auftauchen.