СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.12.2025
#ИБ

Многоэтапная кампания: запутанный JavaScript и NetSupport RAT

Вредоносная Кампания, проанализированная Securonix Threat Research, представляет собой сложную многоэтапную операцию, в которой используются передовые тактики для достижения скрытого и постоянного контроля над системами-жертвами. Ниже — разбор механики кампании, её тактик и практические рекомендации для защиты.

«Вредоносная Кампания … представляет собой сложную многоэтапную операцию, в которой используются передовые тактики для достижения скрытого и постоянного контроля над системами-жертвами.» — Securonix Threat Research

Как развивается атака — три ключевых этапа

  • Этап 1 — запутанный JavaScript-загрузчик на скомпрометированных сайтах

    Атака начинается со сложного JavaScript-загрузчика, внедряемого на компрометированные веб-страницы. Скрипт извлекается по определённому URL и использует комбинацию сопоставления числовых индексов и динамического вращения массива для обфускации логики. Встроенные механизмы профилирования устройств решают, нужно ли внедрять полноэкранный iframe для мобильных устройств или загружать дополнительный удалённый скрипт для настольных систем. Дополнительно реализованы тонкие механизмы трекинга, которые гарантируют выполнение вредоносной логики только один раз для каждого пользователя, что повышает скрытность операции.

  • Этап 2 — скрытое выполнение HTA через mshta.exe и зашифрованный PowerShell

    На следующем этапе злоумышленники доставляют HTML-приложение (HTA) по динамически генерируемому URL. HTA запускается с использованием легитимного компонента Windows — mshta.exe — и выполняется полностью скрыто от пользователя. HTA записывает на диск зашифрованный PowerShell-скрипт, затем расшифровывает и запускает его. Для защиты полезной нагрузки применяется схема шифрования AES-256-ECB в сочетании со сжатием/кодированием Base64 и GZIP. Основные действия выполняются в памяти, после чего временные файлы удаляются для затруднения криминалистического анализа.

  • Этап 3 — установка NetSupport RAT и закрепление

    Финальная расшифрованная PowerShell-полезная нагрузка загружает и устанавливает троян удалённого доступа NetSupport (в обсуждениях threat intelligence — NetSupport RAT). Скрипт скачивает ZIP-файл с инфраструктуры злоумышленников, извлекает его и запускает клиентский исполняемый файл через скрытую оболочку JScript. Для сохранения доступа создаётся замаскированный ярлык в папке автозагрузки — механизм, обеспечивающий автоматический запуск при входе пользователя в систему. NetSupport, хотя и предназначен для легитимного удалённого администрирования, в этой кампании перепрофилирован для несанкционированного контроля.

Цели и масштаб кампании

Кампания ориентирована на широкую категорию корпоративных пользователей, а не на конкретные отрасли. Злоумышленники используют скомпрометированные веб-сайты и тихие перенаправления (silent redirects), что делает атаку масштабируемой и трудноотслеживаемой. Несмотря на применение современных методов обфускации и защиты от обнаружения, в настоящий момент недостаточно доказательств для достоверной атрибуции к определённой группе злоумышленников или государству.

Используемые тактики (сопоставление с MITRE ATT&CK)

  • Drive-by компрометация (drive-by — теневой доступ через посещение веб-страницы)
  • Выполнение JavaScript в браузере для последующей доставки полезной нагрузки
  • Злоупотребление легитимными подписанными бинарными файлами (например, mshta.exe)
  • Скрытое выполнение HTA и PowerShell в памяти
  • Использование шифрования и сжатия (AES-256-ECB, Base64, GZIP) для защиты полезной нагрузки
  • Загрузка и запуск сторонних исполняемых файлов (NetSupport RAT)
  • Закрепление через папку автозагрузки и маскировку ярлыков
  • Обфускация и возможная reflective loading для уклонения от обнаружения

Риски для организаций

Если кампания успешна, злоумышленники получают устойчивый удалённый доступ к рабочим станциям сотрудников, что позволяет:

  • проводить lateral movement по сети;
  • эксфильтровать данные;
  • устанавливать дополнительные инструменты и бекдоры;
  • маскировать следы своей деятельности за счёт выполнения в памяти и удаления временных артефактов.

Рекомендации по защите

  • Ограничить и контролировать использование mshta.exe и других Signed System Binaries (whitelisting, AppLocker, Microsoft Defender Application Control).
  • Блокировать исполнение HTA-файлов и скриптов из недоверенных источников; в политике браузеров включить ограничение исполнения внешних скриптов.
  • Активно мониторить и анализировать аномальную активность PowerShell (скрипты, выполнение в памяти, одноразовые цепочки декодирования).
  • Фильтровать и ограничивать исходящий трафик к подозрительным хостам и URL (egress filtering, DNS мониторинг).
  • Контролировать содержимое папки автозагрузки и мониторить создание/изменение ярлыков и LNK-файлов.
  • Внедрить EDR решения с детекцией reflective loading, инжекции в память и поведения NetSupport.
  • Проверять целостность и репутацию веб-ресурсов, использовать WAF и Content Security Policy для снижения риска компрометации сайтов.
  • Повысить осведомлённость сотрудников о рисках drive-by загрузок и подозрительных перенаправлениях.

Вывод

Анализ Securonix Threat Research показывает, что злоумышленники комбинируют проверенные и современные приёмы — от обфускации JavaScript до скрытого выполнения HTA и in-memory PowerShell — чтобы получить устойчивый доступ к корпоративным средам через NetSupport RAT. Хотя атрибуция остаётся неясной, сама по себе кампания представляет серьёзную угрозу и требует срочных превентивных мер со стороны команд безопасности и администраторов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: