Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Обнаружены сотни новых вариантов NetSupport RAT

05/08/24

hack3-Aug-05-2024-10-37-32-2284-AM

Специалисты Cisco Talos активно отслеживают несколько вредоносных кампаний, использующих NetSupport RAT для постоянных заражений. Эти кампании избегают обнаружения с помощью обфускации и регулярных обновлений, пишет Securitylab.

В ноябре 2023 года поставщики безопасности выявили новую кампанию с NetSupport RAT, которая использовала фальшивые обновления браузера для обмана пользователей и загрузки вредоносного кода. Этот код скачивает и исполняет команды PowerShell, устанавливающие агент NetSupport на машину жертвы для сохранения постоянства.

В январе 2024 года исследователи eSentire опубликовали ещё один анализ той же кампании, выявив изменения в исходном JavaScript-коде и пути установки агента. Эти изменения демонстрируют стремление злоумышленников улучшить методы обфускации и уклонения.

Cisco Talos провела собственный анализ и выявила множество методов обфускации и уклонения, используемых в кампании. Благодаря этим знаниям удалось создать точные средства обнаружения, которые помогают пользователям защититься. Talos использует открытые инструменты, такие как Snort и ClamAV, для разработки методов обнаружения и защиты.

NetSupport Manager существует с 1989 года и используется для удалённого управления устройствами. Однако с 2017 года злоумышленники начали применять его в своих целях. Переход к удалённой работе в 2020-е годы привёл к увеличению использования NetSupport RAT в фишинговых и drive-by атаках. Эта кампания является одной из самых значительных за последние годы, с сотнями вариантов вредоносных загрузчиков, используемых в масштабной рекламной кампании.

Первый этап кампании представляет собой JavaScript-файл, загружаемый с рекламных сайтов или взломанных ресурсов. Этот файл обфусцирован и содержит загрузчик следующего этапа. Второй этап включает PowerShell-скрипт, который загружает и запускает агент NetSupport, сохраняя его постоянство в реестре системы.

Для обнаружения кампании используются правила Snort, которые позволяют выявить вредоносные файлы и их передачу через различные протоколы. Эти правила также помогают отслеживать действия PowerShell и другие признаки присутствия NetSupport RAT.

Темы:УгрозыPowershellCisco TalosRAT-трояны
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...