s0332-remcos - RunkIntel

# Remcos (Remote Control & Surveillance) > Tipo: **malware - RAT** · S0332 · [MITRE ATT&CK](https://attack.mitre.org/software/S0332) ## Visão Geral [[s0332-remcos|Remcos]] (Remote Control & Surveillance) e uma ferramenta comercial de acesso remoto desenvolvida pela **Breaking Security** e vendida como solução legitima de administracao e monitoramento. Disponível desde 2016, o Remcos combina uma licenca aparentemente legal com capacidades avancadas de RAT, tornando-o ferramenta de escolha para grupos que buscam **negacao plausivel** em suas operações. Em janeiro de 2024, foi a familia de malware mais prevalente reportada pelo sandbox ANY.RUN globalmente. Na América Latina, o [[g0099-blind-eagle-apt-c-36|Blind Eagle]] utilizou o Remcos em 2024 e 2025 para comprometer **instituicoes governamentais e judiciarias colombianas**, explorando uma vulnerabilidade do Windows. O Remcos esta disponível em versoes crackeadas e recompiladas em forums de crimeware, democratizando acesso a suas capacidades para grupos com menos recursos. Sua arquitetura C++ com comunicação proprietaria criptografada (AES-128 via TLS 1.3 na versao atual) e autenticação mutua por certificados dificulta a interceptação do trafego C2. A versao mais recente documentada e a **4.9.4** (marco de 2024), com desenvolvimento ativo mantido pela Breaking Security. **Plataformas:** Windows ## Como Funciona O Remcos opera com fluxo de execução documentado em detalhe pela Elastic Security Labs (análise da versao 4.9.3 Pro): 1. **Entrega**: phishing com documentos Office + macro VBA ou Python, frequentemente impersonando Receita Federal, Detran, SEFAZ ou instituicoes financeiras brasileiras 2. **Carregamento de configuração**: configuração criptografada em blob de recurso chamado `SETTINGS` - decodificada com RC4/AES dependendo da versao; contem C2, porta, mutex e flags de comportamento 3. **UAC bypass**: usa técnica COM-based via `CoGetObject` com moniker `Elevation:Administrator!new:` e CLSID `CMSTPLUA` para lanar processo elevado sem prompt 4. **Process injection**: copia-se em processo alvo via `ZwMapViewOfSection` + `SetThreadContext` + `ResumeThread`; mascara o PEB modificando `ImageBaseAddress` para parecer processo legitimo 5. **Persistência**: chave de registro em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com nome customizavel 6. **C2 cifrado**: protocolo proprietario via TCP com autenticação mutua por TLS 1.3 e criptografia AES-128; porta default 2404 mas configuravel ## Attack Flow ```mermaid graph TB A["📧 Phishing BR SEFAZ / Receita Federal Documento Office + macro"] --> B["💥 Macro VBA / Python T1059.006 UAC bypass T1548.002 via CMSTPLUA"] B --> C["🔧 Remcos 4.9.x Process injection T1055 Registry Run Key T1547.001 Mascara PEB"] C --> D["🔍 Coleta e Vigilancia Keylogging T1056.001 Screen + Video T1113/T1125 Clipboard T1115"] D --> E["📡 C2 proprietario TLS 1.3 + AES-128 Porta configuravel Autenticação mutua"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff class A delivery class B exploit class C install class D recon class E c2 ``` ## Timeline de Atividade ```mermaid timeline title Remcos - Historico e Campannhas 2016 : Breaking Security lanca Remcos Ferramenta comercial legitima 2019 : Primeiros abusos documentados MITRE inclui como S0332 LazyScripter e Gorgon Group 2022 : Gamaredon usa contra Ucrania Campaigns em escala global Versoes crackeadas em forums 2023 : ANY.RUN top malware prevalente Versao 4.9.3 Pro analisada Elastic Security Labs publicacao 2024 : Versao 4.9.4 lancada marco Blind Eagle usa contra Colombia Top RAT em campanhas LATAM Elastic análise completa 4 partes 2025 : Blind Eagle continua ativo Colombia judiciario e governo Remcos permanece top RAT global ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência em HKCU Run | | Clipboard Data | [[t1115-clipboard-data\|T1115]] | Monitoramento de area de transferencia | | Process Injection | [[t1055-process-injection\|T1055]] | ZwMapViewOfSection + ResumeThread | | Python | [[t1059-006-python\|T1059.006]] | Scripts Python no vetor de entrega | | Visual Basic | [[t1059-005-vba\|T1059.005]] | Macros VBA em documentos maliciosos | | Proxy | [[t1090-proxy\|T1090]] | Roteamento de C2 via proxy | | Modify Registry | [[t1112-modify-registry\|T1112]] | Modificacoes de registro para evasão | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Configuração criptografada em recurso | | System Checks | [[t1497-001-system-checks\|T1497.001]] | Detecção de sandbox via sleep timing | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos remotos | | Bypass UAC | [[t1548-002-bypass-user-account-control\|T1548.002]] | COM-based via CMSTPLUA CLSID | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots continuos ou on-demand | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de cargas adicionais | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas em tempo real | | Video Capture | [[t1125-video-capture\|T1125]] | Gravacao de camera e tela | | File Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Navegacao no sistema de arquivos | ## Grupos que Usam - [[g0140-lazyscripter|LazyScripter]] - campanhas phishing globais - [[g0047-gamaredon|Gamaredon Group]] - operações contra Ucrania e LATAM - [[g0078-gorgon-group|Gorgon Group]] - crimeware e APT - [[g0099-blind-eagle-apt-c-36|Blind Eagle]] - espionagem contra Colombia e LATAM ## Relevância LATAM/Brasil > [!latam] Impacto no Brasil e LATAM > O Remcos é um dos RATs mais usados em campanhas de phishing contra o **Brasil** — iscas de Receita Federal, Detran e SEFAZ distribuem o malware consistentemente. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] usou o Remcos em 2024-2025 contra o judiciário e governo colombiano, explorando vulnerabilidade Windows apenas 6 dias após o patch público. Top RAT em campanhas LATAM por sua licença comercial aparentemente legítima. O [[s0332-remcos|Remcos]] e uma das RATs mais prevalentes em campanhas de phishing direcionadas ao Brasil. CERT.br, equipes de CSIRT corporativos e vendors de segurança com base de clientes no Brasil reportam consistentemente o Remcos nos top-5 de detecoes de RAT, em campanhas que imitam notificacoes da Receita Federal, Detran, SEFAZ e instituicoes financeiras brasileiras. O caso mais significativo na LATAM e o uso pelo [[g0099-blind-eagle-apt-c-36|Blind Eagle]] contra o sistema judiciario e governamental colombiano em 2024-2025, explorando vulnerabilidade Microsoft Windows para implantar Remcos em maquinas de funcionarios de alto valor. A combinacao de licenca comercial aparentemente legitima e capacidades de vigilancia totais torna o Remcos ideal para operações que requerem persistência prolongada e acesso abrangente sem levantar suspeitas imediatas dos defensores. ## Detecção e Defesa **Indicadores de comprometimento:** - **Sysmon ID 3 (NetworkConnect):** Beaconing TCP para servidor C2 em porta configuravel (default 2404) com protocolo binario proprietario - fingerprint documentado em pesquisas de rede - **Sysmon ID 13 (RegistryValueSet):** Chave `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com valor apontando para executavel em `%APPDATA%` com nome customizado - **Sysmon ID 10 (ProcessAccess):** Injecao em `explorer.exe`, `notepad.exe` ou processos do sistema - Remcos usa process hollowing com `ZwMapViewOfSection` **Regras de detecção:** - YARA: Strings de versao do Remcos (`REMCOS_XXXXXXXX`) e configuração criptografada no recurso `SETTINGS` - repositorios ANY.RUN e Triage - Sigma: `proc_creation_win_remcos.yml` no repositorio SigmaHQ - detecta por hashes conhecidos e comportamento - Network: Fingerprint do protocolo Remcos via TLS JA3/JA3S hashes documentados por pesquisadores **Mitigacoes:** - Desabilitar macros VBA por padrao via GPO ou Microsoft 365 Security Center - Bloquear execução de scripts Python e VBScript de diretorios de usuario com AppLocker/WDAC - Monitorar e alertar sobre UAC bypass via CMSTPLUA COM em todos os endpoints ## Referências - [MITRE ATT&CK - S0332](https://attack.mitre.org/software/S0332) - [Elastic Security Labs - Dissecting Remcos RAT 2024 (Serie 4 partes)](https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one) - [Cisco Talos - RAT Campaign Targets Latin América (2021)](https://blog.talosintelligence.com/rat-campaign-targets-latin-america/) - [Intel 471 - Latin América Cyber Threat Landscape 2026](https://www.kiteworks.com/cybersecurity-risk-management/latin-america-cyber-threat-landscape-2026-intel-471-report/) - [Splunk - Common TTPs Across RATs (2026)](https://www.splunk.com/en_us/blog/security/common-ttps-rats-malware-analysis.html)