NetSupport RAT IOCs - Part 18

В последние месяцы наблюдается увеличение случаев рассылки вредоносных писем с приложенными ZIP-архивами, содержащими скрипты JScript. Файлы скриптов маскируются под запросы и предложения от потенциальных клиентов или партнеров. Кампания, получившая название Horns&Hooves, началась в марте 2023 года и затронула более тысячи частных пользователей и предприятий в России. Злоумышленники также добавляют электронные документы, связанные с организацией или человеком, от имени которых они себя выдают, чтобы придать письмам большую правдоподобность.

NetSupport RAT

Скрипт, содержащийся в ZIP-архиве, загружает документ-обманку в виде PNG-изображения с веб-сайта. Это изображение, которое может быть скриншотом таблицы со списком товаров для покупки, показывается пользователю для отвлечения внимания от вредоносной деятельности. Злоумышленники иногда используют PNG-формат, так как в предыдущих версиях программы скрытую полезную нагрузку добавляли в конец файла PNG.

Для загрузки документа-обманки злоумышленники используют утилиту curl, а затем запускают BAT-файл для установки основной вредоносной нагрузки. BAT-скрипт также использует bitsadmin для управления передачей файлов. В результате установки, вредоносная нагрузка включает в себя легитимное программное обеспечение NetSupport Manager, которое позволяет злоумышленникам получать удаленный доступ к зараженной системе и выполнять различные операции.

BAT-скрипт скачивает файлы с указанного адреса и устанавливает их в указанные каталоги на компьютере пользователя. Некоторые из установленных файлов включают NetSupport Audio Capture, клиент NetSupport с именем CrossTec, файлы конфигурации, утилиты NetSupport, библиотеки времени выполнения Microsoft C и дополнительные настройки NetSupport Manager.

Эти вредоносные письма представляют угрозу для пользователей и организаций, так как злоумышленники могут получить доступ к конфиденциальной информации, включая личные данные и данные компаний. Рекомендуется быть осторожными при открытии писем с приложенными ZIP-архивами или непрошенными запросами о ценах и предложениях, особенно если они содержат скрипты JScript. Необходимо использовать антивирусное программное обеспечение и обновлять его регулярно.

Indicators of Compromise

Domains

• gribidi1.com
• gribidi2.com
• labudanka1.com
• labudanka2.com
• shetrn1.com
• shetrn2.com
• xoomep1.com
• xoomep2.com

URLs

• http://188.227.106.124/test/js/1.js
• http://188.227.106.124/test/js/BLD.exe
• http://188.227.106.124/test/js/www.php
• http://188.227.58.243/pretencia/installet_bat_vbs.bat
• http://188.227.58.243/pretencia/www.php
• http://188.227.58.243/zayavka/www.php
• http://193.42.32.138/api/
• http://31.44.4.40/test/bat_install.bat
• http://45.133.16.135/zayavka/1.yay
• http://45.133.16.135/zayavka/666.bat
• http://45.133.16.135/zayavka/www.php
• http://87.251.67.51/api/
• http://golden-scalen.com/ngg_cl.zip
• https://golden-scalen.com/files/*

MD5

• 051552b4da740a3af5bd5643b1dc239a
• 0fea857a35b972899e8f1f60ee58e450
• 12ab1bc0989b32c55743df9b8c46af5a
• 17a78f50e32679f228c43823faabedfd
• 1b41e64c60ca9dfadeb063cd822ab089
• 20014b80a139ed256621b9c0ac4d7076
• 29362dcdb6c57dde0c112e25c9706dcf
• 327a1f32572b4606ae19085769042e51
• 34eb579dc89e1dc0507ad646a8dce8be
• 3e86f6fc7ed037f3c9560cc59aa7aacc
• 50dc5faa02227c0aefa8b54c8e5b2b0d
• 5f4284115ab9641f1532bb64b650aad6
• 63647520b36144e31fb8ad7dd10e3d21
• 67677c815070ca2e3ebd57a6adb58d2e
• 7f0ee078c8902f12d6d9e300dabf6aed
• 8096e00aa7877b863ef5a437f55c8277
• 882f2de65605dd90ee17fb65a01fe2c7
• ae4d6812f5638d95a82b3fa3d4f92861
• b03c67239e1e774077995bac331a8950
• b3bde532cfbb95c567c069ca5f90652c
• b9956282a0fed076ed083892e498ac69
• ba69cc9f087411995c64ca0d96da7b69
• e760a5ce807c756451072376f88760d7
• edfb8d26fa34436f2e92d5be1cb5901b