СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25 июня
#ИБ

NetMedved маскирует фишинг под закупки и ставит NetSupportRAT

Хакерская группировка NetMedved запустила новую кампанию, нацеленную на российские организации. В атаке используются поддельные business-документы, LNK-файлы, PowerShell-скрипты и инструмент удаленного администрирования NetSupport Manager, который злоумышленники применяют как NetSupportRAT.

По данным отчета, эта активность продолжает уже знакомую тактику группы: ранее она использовала LNK-файлы, загрузчики на PowerShell и скрипты с командой finger. На этот раз основной акцент сделан на социальной инженерии: вредоносные файлы маскируются под запросы на закупку, а их названия оформлены в профессиональном стиле, чтобы повысить доверие у сотрудников, работающих с документами.

Как работает схема заражения

После открытия LNK-файла запускается PowerShell-скрипт, который получает зашифрованную полезную нагрузку с удаленного сервера. Для сокрытия действий злоумышленники применяют несколько техник, затрудняющих анализ и обнаружение:

  • Get-Command используется для динамического разрешения Invoke-Expression;
  • для получения полезной нагрузки задействуется COM-объект MSXML2.ServerXMLHTTP;
  • передача и выполнение кода обходят традиционные сигнатуры PowerShell, заметные при статическом анализе.

После запуска LNK-файл подключается к удаленному серверу и загружает встроенный зашифрованный PowerShell-скрипт. Далее он расшифровывается с использованием AES-128-CBC и действует как загрузчик.

Следующий этап атаки заключается в загрузке ZIP-архива с NetSupportRAT. Архив извлекается, а сам компонент запускается из временной директории на машине жертвы.

Закрепление в системе

Чтобы сохранить доступ к зараженной системе, вредоносная программа создает запись автозапуска в реестре Windows. Это обеспечивает автоматический запуск при входе пользователя и повышает устойчивость вредоносной активности.

Альтернативный вектор: JScript-дроппер

Отдельно зафиксирован еще один способ доставки, в котором используется ZIP-архив с вредоносным файлом JScript. В этой схеме JScript выступает в роли дроппера: он выполняет команды Windows COM для декодирования и запуска встроенного документа-приманки, одновременно инициируя запуск NetSupportRAT на системе жертвы.

Такой подход, по оценке аналитиков, повышает скрытность атаки: все компоненты находятся внутри скрипта и не требуют внешних вызовов, которые могли бы спровоцировать срабатывание средств обнаружения.

Признаки преемственности и устойчивой инфраструктуры

Вариант с JScript демонстрирует ключевые сходства с кампаниями 2024 года. Это указывает на последовательный подход NetMedved к операциям: используются схожие методы социальной инженерии, те же принципы доставки и тот же RAT.

Инфраструктура, поддерживающая кампанию, также выглядит выстроенной заранее. Отмечается кластеризация, при которой несколько доменов управления регистрируются одновременно. Такая модель свидетельствует о намеренной стратегии устойчивости и ротации доменов, позволяющей сохранять вредоносную активность даже при блокировке отдельных узлов.

«Последовательность наблюдается в тактиках социальной инженерии, механизмах доставки и развертывании того же RAT», — следует из отчета.

Что это значит для российских организаций

Новая кампания NetMedved показывает, что злоумышленники продолжают комбинировать фишинг, скриптовые загрузчики и легитимные инструменты администрирования, чтобы обходить средства защиты и закрепляться в инфраструктуре жертв. На практике это означает, что наиболее уязвимыми остаются организации, где сотрудники регулярно работают с вложениями, запросами на закупку и файлами, полученными по электронной почте.

Ключевые признаки атаки:

  • поддельные business-документы и запросы на закупку;
  • LNK-файлы, замаскированные под рабочие документы;
  • PowerShell-скрипты с зашифрованной полезной нагрузкой;
  • использование NetSupportRAT для удаленного управления;
  • закрепление через автозапуск в реестре Windows.

В отчете подчеркивается, что кампания сочетает в себе социальную инженерию, скриптовые техники и устойчивую инфраструктуру — именно эта комбинация делает ее опасной для российских организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: