Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Обнаружены сотни новых вариантов NetSupport RAT

05/08/24

hack3-Aug-05-2024-10-37-32-2284-AM

Специалисты Cisco Talos активно отслеживают несколько вредоносных кампаний, использующих NetSupport RAT для постоянных заражений. Эти кампании избегают обнаружения с помощью обфускации и регулярных обновлений, пишет Securitylab.

В ноябре 2023 года поставщики безопасности выявили новую кампанию с NetSupport RAT, которая использовала фальшивые обновления браузера для обмана пользователей и загрузки вредоносного кода. Этот код скачивает и исполняет команды PowerShell, устанавливающие агент NetSupport на машину жертвы для сохранения постоянства.

В январе 2024 года исследователи eSentire опубликовали ещё один анализ той же кампании, выявив изменения в исходном JavaScript-коде и пути установки агента. Эти изменения демонстрируют стремление злоумышленников улучшить методы обфускации и уклонения.

Cisco Talos провела собственный анализ и выявила множество методов обфускации и уклонения, используемых в кампании. Благодаря этим знаниям удалось создать точные средства обнаружения, которые помогают пользователям защититься. Talos использует открытые инструменты, такие как Snort и ClamAV, для разработки методов обнаружения и защиты.

NetSupport Manager существует с 1989 года и используется для удалённого управления устройствами. Однако с 2017 года злоумышленники начали применять его в своих целях. Переход к удалённой работе в 2020-е годы привёл к увеличению использования NetSupport RAT в фишинговых и drive-by атаках. Эта кампания является одной из самых значительных за последние годы, с сотнями вариантов вредоносных загрузчиков, используемых в масштабной рекламной кампании.

Первый этап кампании представляет собой JavaScript-файл, загружаемый с рекламных сайтов или взломанных ресурсов. Этот файл обфусцирован и содержит загрузчик следующего этапа. Второй этап включает PowerShell-скрипт, который загружает и запускает агент NetSupport, сохраняя его постоянство в реестре системы.

Для обнаружения кампании используются правила Snort, которые позволяют выявить вредоносные файлы и их передачу через различные протоколы. Эти правила также помогают отслеживать действия PowerShell и другие признаки присутствия NetSupport RAT.

Темы:УгрозыPowershellCisco TalosRAT-трояны
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...