再活性化するNetSupport Managerの悪用

NetSupport Managerは正規のツールです。
これはWindows中心のクロスプラットフォームリモートコントロールソフトウェアで、Windows、Mac、Linux、Solaris、Windowsモバイルデバイスからのリモート画面制御とシステム管理を可能にします。
発表されたのは1989年です。
長く利用されてくるなかで機能やサポート範囲を広げて、利用ユーザも大きくなってきています。
世界120ケ国・1,900万台を超えるシステムで利用されています。

元の製品が高機能なリモート管理製品ですので、悪用された場合の危険の大きさは想像が容易です。
このNetSupport Managerが、NetSupport RATとして展開されてしまっています。
多くの脅威アクターがNetSupport Managerを悪用していますが、最近の悪用の例はこういった流れです。

偽サイトを公開する
偽サイトでは、偽のブラウザ更新のコンテンツが表示されます。
WebブラウザのChromeの更新です。
ブラウザ更新のボタンクリックを誘う
偽サイトの画面には、本物のサイトのように「Update Chrome」というボタンが表示されます。
あなたの使っているChromeは古いので更新しましょう、といった具合です。
ブラウザ更新のボタンをクリックする
被害者がボタンをクリックすると、JavaScriptがダウンロードされます。
Update_browser_10.6336.jsなどという名前のものが確認されています。
Webブラウザのリンクをクリックした際の動作としてJavaScriptが転送されてくることは通常みられる動きですので、JavaScriptが転送されてきたということだけで悪意ある行為と判定することはできないかもしれません。
JavaScriptが仕事する
powershell.exeを起動して難読化したコマンドを実行する、外部接続する、符号化されたデータを外部から受信しそれを復号化してzipとして保存する、zipを展開しファイルを配置する。
次々に仕事します。
zipの中身はNetSupport RAT
zipの中には複数のNetSupport依存関係/DLLおよびNetSupportマネージャーが含まれています。
これらのファイルにより、動作の監視、ファイルの転送、コンピュータ設定の操作、ネットワーク内の他のデバイスへの移動を行うことができます。
永続化する
レジストリにキーを追加し、永続化します。
C2へ接続する
powershellから手元のNetSupportのファイルを実行し、外部接続します。
接続先はNetSupport RATのC2です。