AhnLab Security Emergency response Center (ASEC) обнаружил, что NetSupport RAT распространяется через фишинговое письмо, которое недавно было в обращении.
NetSupport RAT
NetSupport RAT используется различными субъектами угроз. Они распространяются через спам-письма и фишинговые страницы, замаскированные под документы, такие как счета-фактуры, отгрузочные документы и заказы на поставку.
Вредоносный файл javascript сжат и прикреплен к письму под именем "scan16431643.zip". Угрожающий агент заставлял цель открыть вложение вредоносного файла, обманывая пользователей с помощью файла с элементами контрольного списка, касающегося аудита. Прикрепленный сжатый файл (scan16431643.zip) содержит вредоносный javascript с именем "scan16431643.js".
Некоторые строки обфусцированы. Он подключается к 3 обычным веб-сайтам для проверки интернет-соединения жертвы. Если соединение не удается, вредоносная программа завершает работу.
При успешной попытке подключения к Интернету вредоносная программа подключается к C2, загружает и выполняет дополнительный Powershell-скрипт.
С помощью функции AMSI даже обфусцированные сценарии javascript могут предоставить расшифрованные данные, такие как команды Powershell и адрес C2 для попытки подключения ("mjventas.com[/]reconts[.]php") через строки, собранные через буфер AMSI.
AMSI(Anti-Malware Scan Interface) - это стандарт многоцелевых интерфейсов, позволяющий интегрировать прикладные программы и сервисы с антивирусными продуктами.
Дополнительный Powershell-скрипт, загруженный из C2, выполняется без копирования в локальный каталог. Этот сценарий Powershell загружает NetSupport RAT и сохраняет его под именем файла "client32.exe" в папке TimeUTCSync_(Random Number) в каталоге %Appdata%, а также регистрирует его в ключе реестра, чтобы обеспечить его автоматическое выполнение при загрузке системы.
Дополнительно загруженный сценарий Powershell не сохраняется в виде файла в локальном пути.
Indicators of Compromise
URLs
- https://mjventas.com/reconts.php
- https://qualityzer.com/index1.php