30 лет назад NetSupport Manager начинался как подлинное программное обеспечение для удаленной технической поддержки. Он позволял передавать файлы, общаться в чате поддержки, управлять запасами и осуществлять удаленный доступ. Несмотря на то, что это легитимное программное обеспечение, в последние годы атакующие используют его в качестве троянца удаленного доступа (RAT), который, в частности, был распространен в 2020 году с помощью масштабной фишинговой кампании COVID-19.
NetSupport RAT
Механизмы распространения NetSupport RAT включают в себя мошеннические обновления, загрузку с диска, использование загрузчиков вредоносного ПО (например, GhostPulse), а также различные виды фишинговых кампаний.
Благодаря своей легальности и широкой распространенности NetSupport Manager не является исключительной принадлежностью какого-либо одного угрожающего субъекта. Сразу несколько злоумышленников, включая небезызвестную TA569, известную своим вредоносным ПО SocGholish, включают этот инструмент в свой арсенал. Благодаря своей доступности он может быть использован самыми разными субъектами угроз - от начинающих хакеров до изощренных противников.
Старые версии NetSupport RAT были замечены в использовании файлов .BAT и .VBS, которые часто использовались в качестве ложных целей. Только один из множества передаваемых BAT-файлов отвечал за выполнение RAT и обеспечивал ее устойчивость.
В ходе последних атак наблюдалась загрузка NetSupport RAT на компьютер жертвы с помощью обманных веб-сайтов и поддельных обновлений браузера. При этом начальный этап заражения может варьироваться в зависимости от атакующего.
Indicators of Compromise
IPv4
- 5.252.177.111
- 91.19.150.63
- 91.219.150.64
Domains
- arauas.com
Domain Port Combinations
- sdjfnvnbbz.pw:443
URls
- https://gamefllix.com/111.php[?]9279
- https://magydostravel.com/cdn/zwmrqqgqnaww.php
SHA256
- 213af995d4142854b81af3cf73dee7ffe9d8ad6e84fda6386029101dbf3df897
- 28208baa507b260c2df6637427de82ad0423c20e2bceceb92ba5d76074dcd347
- 2d6c6200508c0797e6542b195c999f3485c4ef76551aa3c65016587788ba1703
- 2e4bd5557aedd1743da5fab1b6995fbc447d6e9491d9ec59fa93ab889d8bccd1
- 38684adb2183bf320eb308a96cdbde8d1d56740166c3e2596161f42a40fa32d5
- 3c072532bf7674d0c5154d4d22a9d9c0173530c0d00f69911cdbc2552175d899
- 46bb795f28ef33412b83542c88ef17d2a2a207ad3a927ecb4678b4ac9c5a05a5
- 4bfa4c00414660ba44bddde5216a7f28aeccaa9e2d42df4bbff66db57c60522b
- 54b920f5b87019fcf313bec4d9f4639a932b8268e5183b29804e91e29ed6f726
- 60fe386112ad51f40a1ee9e1b15eca802ced174d7055341c491dee06780b3f92
- 6795d760ce7a955df6c2f5a062e296128efdb8c908908eda4d666926980447ea
- 89f0c8f170fe9ea28b1056517160e92e2d7d4e8aa81f4ed696932230413a6ce1
- 8c9cd7a1ac6d4cbc641b31a3c55fde5e0e5a48c9bdaf71a59a2c4c9fd98ff9e7
- 956b9fa960f913cce3137089c601f3c64cc24c54614b02bba62abb9610a985dd
- b6b51f4273420c24ea7dc13ef4cc7615262ccbdf6f5e5a49dae604ec153055ad
- c5c974b3315602ffaab9066aeaac3a55510db469b483cb85f6c591e948d16cfe
- d96856cd944a9f1587907cacef974c0248b7f4210f1689c1e6bcac5fed289368
- e3665d8c5030be81a6955965c2928564fe922b9a21f9e712580d04825fa0adf1
- f4e2f28169e0c88b2551b6f1d63f8ba513feb15beacc43a82f626b93d673f56d
- fc6f9dbdf4b9f8dd1f5f3a74cb6e55119d3fe2c9db52436e10ba07842e6c3d7c
- fedd609a16c717db9bea3072bed41e79b564c4bc97f959208bfa52fb3c9fa814