再活性化するNetSupport Managerの悪用

ほぼこもセキュリティニュース By Terilogy Worx

NetSupport Managerは正規のツールです。
これはWindows中心のクロスプラットフォームリモートコントロールソフトウェアで、Windows、Mac、Linux、Solaris、Windowsモバイルデバイスからのリモート画面制御とシステム管理を可能にします。
発表されたのは1989年です。
長く利用されてくるなかで機能やサポート範囲を広げて、利用ユーザも大きくなってきています。
世界120ケ国・1,900万台を超えるシステムで利用されています。

元の製品が高機能なリモート管理製品ですので、悪用された場合の危険の大きさは想像が容易です。
このNetSupport Managerが、NetSupport RATとして展開されてしまっています。
多くの脅威アクターがNetSupport Managerを悪用していますが、最近の悪用の例はこういった流れです。

  • 偽サイトを公開する
    偽サイトでは、偽のブラウザ更新のコンテンツが表示されます。
    WebブラウザのChromeの更新です。

     

  • ブラウザ更新のボタンクリックを誘う
    偽サイトの画面には、本物のサイトのように「Update Chrome」というボタンが表示されます。
    あなたの使っているChromeは古いので更新しましょう、といった具合です。

     

  • ブラウザ更新のボタンをクリックする
    被害者がボタンをクリックすると、JavaScriptがダウンロードされます。
    Update_browser_10.6336.jsなどという名前のものが確認されています。
    Webブラウザのリンクをクリックした際の動作としてJavaScriptが転送されてくることは通常みられる動きですので、JavaScriptが転送されてきたということだけで悪意ある行為と判定することはできないかもしれません。

     

  • JavaScriptが仕事する
    powershell.exeを起動して難読化したコマンドを実行する、外部接続する、符号化されたデータを外部から受信しそれを復号化してzipとして保存する、zipを展開しファイルを配置する。
    次々に仕事します。

     

  • zipの中身はNetSupport RAT
    zipの中には複数のNetSupport依存関係/DLLおよびNetSupportマネージャーが含まれています。
    これらのファイルにより、動作の監視、ファイルの転送、コンピュータ設定の操作、ネットワーク内の他のデバイスへの移動を行うことができます。

     

  • 永続化する
    レジストリにキーを追加し、永続化します。

     

  • C2へ接続する
    powershellから手元のNetSupportのファイルを実行し、外部接続します。
    接続先はNetSupport RATのC2です。

ボタンを1つクリックしただけで被害者となります。
あなたのクリックしようとしているそのボタン、クリックしてもよいボタンですか?

参考記事(外部リンク):NetSupport RAT: The RAT King Returns
blogs.vmware.com/security/2023/11/netsupport-rat-the-rat-king-returns.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。