Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

NetSupport Manager как троян удалённого доступа: векторы и защита

3 мин
NetSupport Manager, изначально предназначенный как легитимный инструмент для удалённого администрирования, всё чаще используется киберпреступниками и классифицируется как Троян удалённого доступа (RAT). Отчёты указывают на широкий спектр векторов внедрения и на строго целенаправленное использование этого ПО для получения несанкционированного доступа и дальнейшей постэксплуатации. Злоумышленники применяют разнообразные методы социальной инженерии и технические приёмы, чтобы заставить пользователей выполнить вредоносные команды и установить NetSupport Manager в нестандартные директории. Среди наиболее часто упоминаемых приёмов: После выполнения вредоносного кода злоумышленник устанавливает NetSupport Manager в нестандартные директории, что затрудняет обнаружение. Получив доступ, атакующий получает широкие возможности: Последние отчёты фиксируют злоупотребления NetSupport Manager в разных регионах: Европа, Ближний Восток, Африка и Северная Америка. Пострадавшие отрасли включают: Особенно
Оглавление

NetSupport Manager, изначально предназначенный как легитимный инструмент для удалённого администрирования, всё чаще используется киберпреступниками и классифицируется как Троян удалённого доступа (RAT). Отчёты указывают на широкий спектр векторов внедрения и на строго целенаправленное использование этого ПО для получения несанкционированного доступа и дальнейшей постэксплуатации.

Как происходит компрометация

Злоумышленники применяют разнообразные методы социальной инженерии и технические приёмы, чтобы заставить пользователей выполнить вредоносные команды и установить NetSupport Manager в нестандартные директории. Среди наиболее часто упоминаемых приёмов:

  • Социальная инженерия: метод ClickFix, подделка CAPTCHA или «проверок», убеждающих жертву запустить скрипт.
  • Phishing: фишинговые письма с указанием на ложные проблемы или срочные обновления.
  • Поддельные обновления: злонамеренные инсталляторы, маскирующиеся под легитимное ПО.
  • Вредоносные сайты и перенаправления: malvertising, SEO-poisoning и drive-by загрузки, перенаправляющие на скомпрометированные страницы.
  • Выполнение скриптов: запуск вредоносных команд PowerShell, имитирующих «исправление» вымышленных проблем.

Механика атаки и последствия для жертвы

После выполнения вредоносного кода злоумышленник устанавливает NetSupport Manager в нестандартные директории, что затрудняет обнаружение. Получив доступ, атакующий получает широкие возможности:

  • удалённый контроль и мониторинг действий пользователей;
  • эксфильтрация конфиденциальных данных;
  • коммуникации с серверами управления и контроля (C2);
  • поддержание постоянного присутствия в сети;
  • загрузка дополнительных вредоносных компонентов для расширения функционала атаки.

География и целевые отрасли

Последние отчёты фиксируют злоупотребления NetSupport Manager в разных регионах: Европа, Ближний Восток, Африка и Северная Америка. Пострадавшие отрасли включают:

  • информационные технологии;
  • государственный сектор;
  • финансовые услуги;
  • образование.

Особенно тревожит целенаправленность на образование: злоумышленники используют высокий уровень доверия к широко используемому в таких средах ПО, что повышает успех социальной инженерии.

Почему обнаружение затруднено

Традиционные решения на базе сигнатур часто пропускают эволюционирующие индикаторы компрометации (IoCs) и поведенческие отклонения легитимных инструментов удалённого доступа. Аналитические платформы, например Darktrace, демонстрируют, что аномальная система обнаружения способна выявлять скрытую активность, но это подчёркивает необходимость более глубокого анализа легитимных инструментов для выявления злоупотреблений.

«Двуликость NetSupport Manager — в том, что инструмент одновременно обеспечивает административные функции и предоставляет злоумышленникам удобную платформу для удалённого контроля».

Практические рекомендации для команд безопасности

Для снижения риска несанкционированного доступа и своевременного обнаружения злоупотреблений рекомендуется:

  • Мониторинг установки и местоположения — отслеживать инсталляции NetSupport Manager вне стандартных директорий;
  • Аудит выполнения скриптов — логирование и анализ запуска PowerShell и других скриптов;
  • Сетевой мониторинг — выявление C2-соединений, маскирующихся под легитимный трафик NetSupport Manager;
  • Поведенческий анализ и EDR — использовать поведенческую телеметрию, а не только сигнатуры;
  • Ограничение привилегий и применение политик — белые списки, минимальные права и сегментация сети;
  • Обучение пользователей — предупреждать о методах социальной инженерии, phishing и фальшивых обновлениях;
  • Защита от malvertising и SEO-poisoning — блокировка сомнительного трафика и контроль внешних ссылок;
  • Интеграция threat intelligence — оперативное обновление IoC и проведение охот по признакам компрометации.

Вывод

NetSupport Manager продолжает выполнять легитимные административные функции, однако его функциональность делает инструмент привлекательным для злоумышленников. Чтобы эффективно различать доброкачественное и злонамеренное использование, командам безопасности необходимы сочетание поведенческого мониторинга, жёстких политик доступа и непрерывного обучения пользователей. Особенно важно уделять внимание обнаружению C2-коммуникаций и аномалий в использовании удалённого управления для значительного снижения риска несанкционированного доступа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "NetSupport Manager как троян удалённого доступа: векторы и защита".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются