В сфере информационной безопасности граница между профессиональным инструментом и оружием злоумышленника становится всё более размытой. Яркий пример - судьба легитимной программы NetSupport Manager, десятилетиями использовавшейся системными администраторами для техподдержки. В последние годы этот инструмент массово эксплуатируется угрозоносными группами для несанкционированного доступа к корпоративным сетям, превратившись в полноценный RAT (Remote Access Trojan - троянец удалённого доступа), опасность которого сопоставима с классическим вредоносным ПО. Эта тенденция поднимает острые вопросы о доверии к любому софту, имеющему функции удалённого управления, и демонстрирует необходимость перехода от сигнатурных методов защиты к анализу аномального поведения.
Описание
NetSupport Manager - это не новая утилита, её история началась в 1989 году. Она была создана для легальных целей: удалённого администрирования, мониторинга и оказания технической поддержки пользователям в корпоративных сетях и образовательных учреждениях. Однако именно её распространённость, надёжность и легитимный статус привлекли внимание киберпреступников. Атакующие поняли, что установка такого известного и часто разрешённого в политиках безопасности ПО не вызовет подозрений у многих традиционных антивирусных систем и систем предотвращения вторжений (IPS). Таким образом, легальный инструмент стал идеальным каналом для скрытного закрепления в системе (persistence) и дальнейших вредоносных действий.
Механизм заражения NetSupport RAT часто начинается с социальной инженерии. Одна из популярных тактик, известная как ClickFix, заключается в том, что пользователя обманом заставляют выполнить вредоносные команды PowerShell под предлогом решения несуществующей проблемы, например, завершения фейковой проверки CAPTCHA. Другие векторы включают фишинговые письма, поддельные обновления браузеров, SEO-отравление (манипуляцию результатами поиска) и скрытые загрузки. Цель всегда одна - заставить жертву запустить скрипт, который тайно загрузит и установит клиент NetSupport Manager в нестандартные каталоги, такие как AppData или Downloads, чтобы избежать обнаружения. После успешной установки злоумышленник получает полный удалённый контроль над устройством, может следить за действиями пользователя, похищать конфиденциальные данные, загружать дополнительные вредоносные модули и поддерживать устойчивое присутствие в сети через связь с управляющим сервером (C2, Command-and-Control).
Особенно тревожной тенденцией является таргетирование конкретных отраслей. Исследователи из Darktrace[сообщили в ноябре 2025 года о всплеске подозрительной активности, связанной со злонамеренным использованием NetSupport Manager, у клиентов в Европе, на Ближнем Востоке, в Африке и Северной Америке. Среди пострадавших секторов - информационные технологии, производство, связь, искусство и развлечения. Примечательно, что под удар часто попадает образовательный сектор, что, вероятно, связано с активным маркетингом оригинального NetSupport Manager среди учебных заведений. Злоумышленники пользуются этим доверием, внедряя свою вредоносную версию. Этот факт подчёркивает, что киберпреступники тщательно анализируют рыночные стратегии легальных вендоров, чтобы найти наиболее уязвимые точки для атаки.
Главная проблема для классических средств защиты заключается в том, что NetSupport RAT по своей сути не является вредоносным ПО в традиционном понимании. Это злоупотребление легальным софтом. Сигнатурные системы, ориентированные на известные индикаторы компрометации (IoC, Indicators of Compromise), часто бессильны, так как сами исполняемые файлы NetSupport Manager могут быть подписаны валидными сертификатами и не содержать явно вредоносного кода. Более того, управляющие серверы постоянно меняются, появляются новые домены, что делает чёрные списки неэффективными. Именно здесь на первый план выходят технологии анализа аномалий, которые не ищут известное зло, а отслеживают отклонения в нормальном поведении устройств в сети.
Такой подход доказал свою эффективность. В одном из инцидентов система Darktrace обнаружила устройство, инициирующее подключения к редкому внешнему домену с использованием ранее невиданного в сети пользовательского агента «NetSupport Manager/1.3». Хотя сам по себе агент указывал на легальную активность, контекст - а именно редкий домен и последующие HTTP POST запросы к подозрительному URI - позволил классифицировать событие как атаку. Последующий анализ подтвердил, что обнаруженный endpoint являлся управляющим сервером NetSupport RAT. Это наглядный пример того, как поведенческий анализ может выявить угрозу, даже когда она маскируется под легитимные процессы.
Итог этой истории очевиден для специалистов по кибербезопасности: в современной среде ни один инструмент с правами удалённого доступа не может быть слепо доверен. Распространённость удалённой работы лишь увеличивает риски. Ключевой мерой защиты становится строгий контроль и мониторинг любой активности, связанной с удалённым управлением, особенно исходящей от пользовательских рабочих станций, а не административных серверов. Регулярный аудит установленного ПО, анализ сетевых соединений на предмет аномальных подключений к редким внешним ресурсам, а также внедрение решений, способных выстраивать «цифровой профиль» для каждого устройства и вовремя сигнализировать о отклонениях, являются необходимыми шагами для нейтрализации угроз, подобных NetSupport RAT. Этот случай служит суровым напоминанием, что в арсенале обороны современного SOC методы обнаружения аномалий должны идти рука об руку с традиционными сигнатурными технологиями.
Индикаторы компрометации
IPv4
- 104.21.40.75
- 107.158.128.84
- 141.98.11.224
- 185.39.19.233
- 217.91.235.17
- 38.146.28.242
- 45.88.79.237
- 45.94.47.224
- 74.91.125.57
- 87.120.93.98
- 88.214.27.166
- 88.214.27.48
Domains
- finalnovel.com
- heaveydutyl.com
- holonisz.com
- nsgatetest1.digital
- thetavaluemetrics.com
- westford-systems.icu
